هشدار در خصوص ضعف امنیتی روز - صفر در Windows

یک محقق امنیتی جزئیات فنی یک آسیب‌پذیری جدید از نوع “روز – صفر” را افشا کرده است که نسخ مختلفی از سیستم‌عامل Windows از آن تأثیر می‌پذیرند.
به گزارش مرکز مدیریت راهبردی افتا: ضعف امنیتی مذکور از نوع “افزایش سطح دسترسی” (Privilege Elevation) بوده و سوءاستفاده از آن منجر به دستیابی به امتیازات کاربر با سطح دسترسی بالا به‌صورت محلی در تمامی نسخ Windows از جمله Windows ۱۰، Windows ۱۱ و Windows Server ۲۰۲۲ می‌شود.
به عبارتی با استفاده از این آسیب‌پذیری، مهاجمان دارای دسترسی محدود، می‌توانند به‌راحتی در یک دستگاه هک شده، امتیازات و سطح دسترسی خود را افزایش داده و آلودگی را در شبکه توسعه دهند.
شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماه نوامبر ۲۰۲۱ را در روز ۱۸ آبان‌ماه، منتشر کرد. در مجموعه اصلاحیه‌‌های مذکور، این شرکت یک آسیب‌پذیری از نوع “Windows Installer Elevation of Privilege Vulnerability” را با شناسه CVE-۲۰۲۱-۴۱۳۷۹ برطرف کرد.
یکی از محققان امنیتی پس از بررسی اصلاحیه امنیتی نوامبر مایکروسافت و وصله آسیب‌پذیری مذکور، یک ضعف امنیتی جدید و قدرتمند دیگری را شناسایی نموده که موجب ” افزایش سطح دسترسی” شده و از نوع “روز صفر” تلقی می‌شود.
این محقق یک نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) نیز از آن ضعف امنیتی “روز – صفر” در GitHub به آدرس زیر منتشر کرده است که تحت شرایط خاصی دستیابی به سطح دسترسی SYSTEM را فراهم می‌کند.

 https://github.com/klinix۵/InstallerFileTakeOver

وی همچنین توضیح داده که همه نسخ Windows از جمله Windows ۱۱  و Windows Server ۲۰۲۲ از این ضعف امنیتی متأثر می‌شوند.
محقق مذکور در ادامه عنوان نموده که ضعف امنیتی CVE-۲۰۲۱-۴۱۳۷۹ به‌درستی ترمیم نشده و اقدام به وصله آن نخواهد کرد زیرا منجر به آسیب‌پذیری بسیار مخرب‌تری می‌شود.
محققان، ضعف امنیتی مذکور را با به‌کارگیری نمونه اثبات‌گری که محقق مذکور ارائه داده، بر روی یک سیستم‌عامل کاملاً به‌روزرسانی شده، آزمایش کرده‌اند. آنان تنها در عرض چند ثانیه، از طریق یک حساب کاربری “Standard” با سطح دسترسی پایین، موفق به بازکردن خط فرمان (Command Prompt) با امتیازات SYSTEM شده‌اند. امتیازات SYSTEM بالاترین حق دسترسی برای کاربران Windows است که انجام هر یک از فرامین سیستم‌عامل را ممکن می‌سازد.
علاوه بر این، محقق مذکور توضیح داد که اگرچه می‌توان از طریق اعمال و پیکربندی Group Policy از نصب فایل‌های MSI توسط کاربران «Standard» جلوگیری کرد، ضعف امنیتی “روز – صفر” جدید همچنان این پیکربندی را دور می‌زند و به‌هرحال کار خواهد کرد.
پس از افشای ضعف امنیتی جدید و انتشار عمومی نمونه اثبات‌گر، محققان امنیتی سیسکو (Cisco Systems, Inc.) در گزارشی از شناسایی  چندین بدافزار خبر داده‌اند که در حال آزمایش آسیب‌پذیری مذکور و نمونه اثبات‌گر منتشر شده در حملات کوچک هستند تا در آینده کارزارهای گسترده‌ای را راه‌اندازی کنند. این امر نشان می‌دهد که مهاجمان چقدر سریع شروع به به‌کارگیری ضعف امنیتی و نمونه اثبات‌گری کرده‌اند، که در دسترس عموم قرار گرفته است.
راهبران امنیتی به دلیل پیچیدگی این آسیب‌پذیری، منتظر انتشار یک وصله امنیتی از سوی مایکروسافت باشند. همان‌طور که معمول است، مایکروسافت احتمالاً این آسیب‌پذیری را در به‌روزرسانی بعدی خود در ماه دسامبر برطرف خواهد کرد.

منابع:

https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day
https://blog.talosintelligence.com/۲۰۲۱/۱۱/attackers-exploiting-zero-day.html

 (با سپاس از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.