آنتی ویروس ها و چالش آنها با نقص امنیتی Meltdown & Spectre

آنتی ویروس و نقص امنیتی Meltdown & Spectre

مایکروسافت، اطلاعات و جزییات جدید و مهمی در صفحه پشتیبانی خود اضافه کرده است که ناسازگاری میان محصولات آنتی ویروس (AV) و پچ های اخیر  Windows Meltdown & Spectre  را توضیح می دهد.

بر اساس به روز رسانی اضافه شده اخیر، مایکروسافت می گوید که کاربران ویندوز نمی توانند به روز رسانی امنیتی پچ ژانویه ۲۰۱۸ یا هر گونه به روز رسانی های امنیتی Patch Tuesday بعدی را دریافت کنند، مگر اینکه برنامه آنتی ویروس مورد استفاده آنها با پچ های Meltdown & Spectre سازگار شود.

نحوه سازگار شدن برنامه آنتی ویروس، از طریق آپدیت آن و اضافه کردن یک کلید رجیستری برای  Windows Registry می باشد.

حضور این کلید رجیستری به سیستم عامل ویندوز می گوید که محصول آنتی ویروس سازگار است و ویندوز به روز رسانی را که شامل پچ های Meltdown و Spectre است، اجرا می کند.

کلید رجیستری تعیین می کند که کاربران واجد شرایط برای به روز رسانی های آینده می باشند یا خیر.

با توجه به آخرین تغییرات سیاست مایکروسافت، این کلید رجیستری در حال حاضر تبدیل به یک بررسی دائمی در روند به روز رسانی ویندوز شده است که علاوه بر پچ های Meltdown و Spectre از همه به روز رسانی های بیشتر جلوگیری می کند.

سازنده سیستم عامل Redmond از شرکت های آنتی ویروس درخواست کرده است تا این کلید رجیستری را ایجاد کنند، زیرا در حین آزمایش، برخی از محصولات AV باعث شده است که رایانه های ویندوز وارد حالت صفحه آبی مرگ (BSOD) شوند که مانع بوت شدن پس از آن می شود.

مرتبط : انتخاب بهترین آنتی ویروس سال ۲۰۱۸ – مقایسه قیمت و قابلیت

 

Kevin Beaumont، محقق امنیتی در پست وبلاگ Medium، علت این اتفاق را توضیح می دهد:

” مشکل آنجاست که برخی از تولیدکنندگان آنتی ویروس تکنیک هایی استفاده می کنند تا Kernel Patch Protection را دور بزنند. آنها برای این کار از یک هایپروایزر (ناظر ماشین مجازی) استفاده می کنند که موجب جلوگیری از فراخوان سیستمی (:System Call یا Syscall) و فرضیه های مربوط به مکان های حافظه می شود. در حال حاضر  memory locationها با تعمیرات Meltdown تغییر می کنند. صادقانه بگویم، برخی از تکنیک ها مشابه مواردی است که توسط rootkits ها استفاده می شود. در واقع، مایکروسافت یک دهه پیش برای مبارزه با Rootkits ،  Kernel Patch Protection را معرفی کرد. از آنجا که برخی از تولید کنندگان آنتی ویروس ها از تکنیک های بسیار مشکوک استفاده می کنند، در نتیجه وضعیت سیستم ها به “صفحه نمایش آبی مرگ” منجر می شوند – بعلاوه به حلقه های reboot تبدیل می شوند.”

آسیب پذیری های Meltdown و Spectre نقص اساسی در طراحی پردازنده های مدرن را برجسته کرده است. اصلاحاتی که مایکروسافت به کار گرفته است تأثیر مشابهی بر نحوه عملکرد نرم افزار آنتی ویروس در سیستم عامل ویندوز دارد.

در حال حاضر کاربرانی که از آنتی ویروس استفاده نمی کنند و یا از Windows Defender استفاده می کنند می توانند به روز رسانی انجام دهند، چرا که آنها به کلیدی رجیستری نیاز ندارند. تنها کسانی تحت تاثیر قرار می گیرند که از راه کار های ضد ویروس سفارشی و شخص ثالث استفاده می کنند.

اکثر فروشندگان AV محصولات خود را برای پشتیبانی از پچ های Meltdown و Specter به روز کرده اند، اما برخی از فروشندگان از کاربران میخواهند تا کلید رجیستری را به صورت دستی تنظیم کنند.

با توجه به Beaumont، علت آن است که برخی از شرکت های AV آگاه هستند که برخی از مشتریان محصولاتشان را همراه با دیگر نرم افزارهای آنتی ویروس اجرا می کنند. به همین دلیل، آنها نمی خواهند با تنظیم کلید رجیستری به طور تصادفی باعث ایجاد BSOD ها شوند آن هم در حالی که دیگر آنتی ویروس ها برای پچ های Meltdown و Specter به روز نشده اند.

به عبارت دیگر، این یک آشفته بازار است!

کلید رجیستری ممکن است باعث بروز خطا شود

Beaumont دنبال محصولات ضد ویروسی است که: کلید رجیستری را ایجاد کرده اند، محصولاتی که از کاربران می خواهند کلید های رجیستری را به صورت دستی ایجاد کنند و محصولاتی که هنوزکلید رجیستری را دریافت نکرده اند و در حال حاضر با پچ های Meltdown و Specter ناسازگار اند.

البته سایسک بعنوان کارشناس امنیتی و آنتی ویروس ها معتقد است که به احتمال زیاد بخش بزرگی از پایگاه کاربری ویندوز (Windows userbase) تحت تاثیر این کلید رجیستری قرار نمیگیرد. اما اگر در ماه های جاری کاربران متوجه شوند که کامپیوتر ویندوزشان هیچ به روز رسانی های امنیتی را دریافت نمی کند، اول باید آنتی ویروس خود را بررسی کنند.

آنها همچنین باید نگاهی به فهرست Beaumont داشته و اطمینان حاصل کنند که آنتی ویروس فعلی شان با پچ های Meltdown و Spectre سازگار است.

کاربران باید زمان بیشتری صرف آنتی ویروس خود کنند

با متوقف کردن تمام به روز رسانی های امنیتی ویندوز، مایکروسافت اساسا دو چیز را بیان می کند: (۱) کاربران یا تصمیم می گیرند که دریافت های به روز رسانی ویندوز را متوقف کرده و با آنتی ویروس فعلی خود بمانند یا (۲) آنتی ویروس فعلی خود را رها کرده و به سراغ محصولی میروند که پچ های Meltdown و Spectre را پشتیبانی می کند.

کاربران نباید در  رها کردن آنتی ویروس فعلی خود عجله کنند. مایکروسافت در اظهاراتی اعلام کرد که ممکن است شرکت های ضد ویروس برای انتشار به روز رسانی ها تعلل کنند و کاربران را به صبر و شکیبایی دعوت کرده است. به روزرسانی ها بسیار پیچیده است.

کلید رجیستری که محصولات آنتی ویروس نیاز به راه اندازی آن دارند، به شرح زیر است:

Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”

Dleeping Computer یک فایل reg ایجاد کرده است که کاربران می توانند با دوبار کلیک بر رویش، رجیستری را بر روی کامپیوتر خود ایجاد کنند. در صورتیکه فروشنده آنتی ویروس به کاربران گفته باشد که باید کلید رجیستری را به صورت دستی نصب کنند، کاربران می توانند از این فایل استفاده کنند. اطلاعات بیشتر در مورد به روز رسانی کامپیوترهای ویندوز با پچ های Meltdown و Spectre در اینجا موجود است: اینجا

 

مایکروسافت، بررسی کلید رجیستری آنتی ویروس را برای کاربران ویندوز۱۰ حذف میکند

مایکروسافت از تصمیمش در ماه ژانویه عدول کرده است. در آن زمان مایکروسافت شرط کرده بود که کامپیوتر های فاقد کلید رجیستری، دیگر آپدیت های امنیتی را دریافت نمیکنند.

این “الزام” خاص به عنوان بخشی از فرایند پچ کردن Meltdown و Specter معرفی شد.

 

شکست خوردن کلید رجیستری Meltdown و Spectre

در آن زمان، مایکروسافت گفت که فروشندگان آنتی ویروس باید یک کلید رجیستری را به ویندوز اضافه کنند تا نشان دهند که با پچ های اصلی Meltdown و Spectre مایکروسافت سازگار هستند.

این مسئله در آن زمان یک مسئله بزرگ بود زیرا مایکروسافت در حین آزمایش متوجه شد که برخی از فروشندگان آنتی ویروس کد را به بخشی از هسته تزریق می کنند که شرکت سعی می کند تا آن را در برابر نقص های Meltdown و Spectre پچ کند.

این باعث شد که بعضی از موتورهای آنتی ویروس پس از نصب این پچ ها، به طور تصادفی کامپیوتر را خراب کنند.

مایکروسافت به روز رسانی های امنیتی را به استفاده از کلید رجیستری مشروط کرده است

شرکت Redmond اعلام کرده است که کاربران ویندوز ۷، ۸، ۸.۱ و ۱۰ که چنین کلید رجیستری را ندارند، هیچگونه به روز رسانی امنیتی بیشتری را از Patch Tuesday دریافت نخواهند کرد.

مایکروسافت امیدوار بود لزوم کلیدی رجیستری، فروشندگان آنتی ویروس را مجبور به ارتقاء محصولات خود را به منظور تعجیل در حمایت از پچ های Meltdown و  Spectreکند.

در واقع این الزام موجب یک آشفته بازار شد؛ هم کاربران و هم فروشندگان آنتی ویروس گیج شدند.

علت آن بود که برخی از فروشندگان آنتی ویروس اضافه کردن کلید رجیستری را نپذیرفتند و به صراحت اعلام کردند که لایه امنیتی اضافی در بالای اسکنرهای آنتی ویروس کلاسیک بودند و نمی خواستند کلید را اضافه کنند.

علاوه بر این، کاربران ویندوز ۷ و ویندوز۸ (که فاقد Windows Defender اند)که از آنتی ویروس استفاده نمی کردند به طور اتفاقی با مشکل روبه رو شدند. در این موارد، کاربران مجبور بودند به صورت دستی کلید رجیستری را اضافه کنند، تا بتوانند هر گونه به روز رسانی های امنیتی جدید را دریافت کنند.

 

این الزام برای کاربران ویندوز۱۰ حذف شده است

اما مایکروسافت اعلام کرد دیگر کاربران ویندوز ۱۰ نیازمند کلید رجیستری نیستد، عمدتا به این دلیل که اکثر شرکت های آنتی ویروس، محصولات خود را به روز کرده اند، بنابراین ترسی وجود ندارد که کاربران ویندوز ۱۰ با خطاهای مواجه شوند.

این الزام به کلید رجیستری همچنان برای کاربران ویندوز ۷ و ۸ و۸.۱ باقی است.

طبق بررسی های سایسک کاربران آنتی ویروس های اف سکیور، کسپرسکی، اویرا آپدیت ها را دریافت کرده اند و نیازی به تغییر و آپدیت جدید ندارند.

مرتبط : بهترین آنتی ویروس رایگان سال ۲۰۱۸ – دانلود آنتی ویروس رایگان

مرتبط : نقص امنیتی ویندوز ۱۰ در آپدیت جدید برطرف نشده است

منبع : مایکروسافت


آنتی ویروس ها و چالش آنها با نقص امنیتی Meltdown & Spectre


 

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *