روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ماه گذشته اکسپلویتی برای آسیب‌پذیری در مایکروسافت ویندوز پیدا شد. شاید به نظر آشنا باشد اما فناوری‌های پیشگیرانه‌ی ما یک اکسپلویتِ روز صفر[1] دیگر نیز شناسایی کرده‌اند. این اکسپلویت مجدداً همان آسیب‌پذیری را (که پیشتر ناشناخته بود) در سیستم‌عامل مورد هدف خود قرار داده است. این بار تنها ویندوز 7 و ویندوز سرور 2008 در خطرند.

اما صِرف اینکه این اکسپولیت به طور محدودی بُروز کرده نمی‌توان آن را کم‌خطر تلقی کرد. گرچه مایکروسافت در ماه ژانویه سال 2015 پشتیبانی خود را از ویندوز سرور 2008 برداشت و با عرضه‌ی ویندوز 10 یک آپگرید رایگان نیز برای آن ارائه داد؛ اما هیچکس آپگرید نکرد. توسعه‌دهندگان همچنان در حال ارائه‌ی آپدیت‌های امنیتی و پشتیبانی از هر دو سیستم‌اند (و باید این کار را تا 14 ژانویه‌ی 2020 ادامه دهند) زیرا آن‌ها به حد کافی مشتری دارند که بخواهند مشمول چنین پشتیبانی‌هایی شوند.

کسپرسکی این اکسپلویت را اولین بار اواخر ماه اکتبر شناسایی کرد. بعد از این شناسایی، متخصصین ما فوراً از این آسیب‌پذیری به مایکروسافت (به همراه "اثبات مفهوم[2]" ) خبر دادند. توسعه‌دهندگان در تاریخ 13 نوامبر به سرعت برای آن پچ امنیتی ارائه دادند.

چه چیزهایی را می‌بایست در مورد این آسیب‌پذیری و اکسپلویت مربوط به آن دانست؟

این در حقیقت یک آسیب‌پذیریِ "ترفیع‌امتیازی"[3] روز صفر در درایور win32k.sys است. مجرمان با استفاده از این آسیب‌پذیری می‌توانند امتیازات لازم را برای ماندن در سیستم قربانی دریافت کنند.

این اکسپلویت -عمدتاً در منطقه‌ی خاورمیانه- در چندین حمله‌ی APT[4] استفاده شد و تنها نسخه‌های 32 بیتی ویندوز 70 را مورد هدف خویش قرار داد.

چطور ایمن بمانیم؟

راهکار امنیتی جدیدی وجود ندارد اما توصیه‌ی ما برای چنین آسیب‌پذیری‌هایی اقدامات زیر است:

• بلافاصله پچ مایکروسافت را نصب کنید.
• مرتباً تمام نرم‌افزارهایی را که کامپیوتر شما استفاده می‌کند به بالاترین نسخه‌شان آپدیت کنید.
• پیش از آنکه پشتبانیِ یک نرم‌افزار تمام شود،  استفاده‌ از آن را کنار بگذارید.
• از محصولات امنیتی که بررسی‌ها و ارزیابی‌های مربوط به آسیب‌پذیری انجام می‌دهند استفاده کنید. همچنین قابلیت‌های مدیریت پچ نیز می‌تواند در این خصوص به شما کمک کند (اتومات شدن فرآیند آپدیت‌ها).
• از راه‌حل امنیتی قوی‌ای استفاده کنید که به قابلیت‌های شناسایی رفتاری مجهز باشد؛  بدین‌ترتیب در برابر تهدیدها (شامل اکسپلویت‌های روز صفر) عملیات‌های حفاظتی مؤثری صورت خواهد گرفت.

باری دیگر تأکید می‌کنیم شناسایی این تهدید -که در گذشته ناشناخته بود- توسط فناوری‌های پیشگیرانه‌ی ما میسر شد: به عنوان مثال موتور پیشرفته‌ی سندباکس و ضدِ بدافزار برای "پلت‌فرم ضد حملات هدفمند کسپرسکی"[5] (راه‌حلی که مشخصاً به منظور حفاظت در برابر تهدیدهایAPT ساخته شده است).

[1]  zero-day exploit

[2] Proof of Concep، نمونه‌ای است که صرفاً برای اثبات وجود یا امکان‌پذیری چیزی آورده می‌شود. از آنجایی که هدف چنین شاهدی تنها بیان امکان وجود یا انجام امری است، اثبات مفهوم اغلب بهینه نیست، و می‌توان با دقّت بیشتر شواهد مناسبتری را پیدا کرد.

[3] Privilege escalatio، به عمل بهره‌برداری و سوءاستفاده از یک اشکال نرم‌افزاری، نقص طراحی، یا اشتباه در پیکربندی سیستم‌عامل یا نرم‌افزار، به منظور بالاتر بردن دسترسی به منابعی که در حالت عادی از دسترس یک کاربر یا نرم‌افزار منبع شده‌اند، گفته می‌شود.

[4]تهدیدهای پیشرفته و مستمر

[5] Kaspersky Anti Targeted Attack Platform