وبلاگ کسپرسکی آنلاین | CVE-2019-0859: آسیب‌پذیری روز صفر در ویندوز

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اوایل ماه مارس فناوری‌های امنیتیِ پیشگیرانه‌ی ما اکسپلوینتی را کشف کرد. در حقیقت این اکسپلویت برای آسیب‌پذیری‌ای در ویندوزِ مایکروسافت می‌باشد. این تحلیل، نشانگرِ آسیب‌پذیریِ روز صفر در دوست قدیمی‌مان win32k.sys (که قبلاً چهار بار شاهد آسیب‌پذیری‌های مشابهی در آن بودیم) بود. ما مشکل را به توسعه‌دهنده گزارش دادیم. بدین‌ترتیب آسیب‌پذیری با یک وصله (پچ) که تاریخ 10 آوریل عرضه شد برطرف گشت.

با چه آسیب‌پذیری‌ای طرف حساب هستیم؟

CVE-2019-0859 یک آسیب‌پذیریِ Use-After-Free در عملکرد سیستم می‌باشد که کارش مدیریت دیالوگ باکس[1] است (به طور دقیق‌تر مدیریت انواع مختلف آن‌ها). این الگوی اکسپلویت، نسخه‌های 64 بیتیِ سیستم‌عامل را مورد هدف خود قرار می‌دهد (از ویندوز 7 گرفته تا آخرین ساخته‌های ویندوز 10).

بهره‌برداری از این آسیب‌پذیری به بدافزار اجازه می‌دهد اسکریپتِ نوشته‌شده توسط مهاجمین را دانلود و اجرا نماید که در بدترین حالت خود می‌تواند منجر به نظارت کامل مهاجم روی دستگاه پی‌سیِ آلوده شود. بدین‌ترتیب مجرمان سایبری می‌توانند با استفاده از این آسیب‌پذیری بک‌درِ ساخته‌شده توسط Windows PowerShell را نصب کنند. اگر بخواهیم به مسئله به طور فرضی نگاه کنیم، این کار به مجرمان سایبری اجازه می‌دهد تا همچنان مخفی باقی بمانند. از این طریق، پی‌لود لود می‌شود و بعد می‌توان براحتی به کل سیستم آلوده دسترسی پیدا کرد.

چطور در برابر این اکسپلویت ایمن بمانیم؟

تمامی روش‌های حفاظتی زیر بارها در مقالات قبلی‌مان ذکر شده‌ است و چیز جدیدی هنوز بدان‌ها اضافه نگشته:

ابتدا، برای بستن آسیب‌پذیری از مایکروسافت، آپدیت را دریافت کنید.

مرتباً همه‌ی نرم‌افزارهای استفاده‌شده در کامپیوتر خود را به روز نمایید؛ خصوصاً سیستم‌عامل که باید به آخرین نسخه‌ی خود به روز شود.

از راه‌حل‌های امنیتی که مجهز به فناوری‌های تحلیل رفتار هستند استفاده کنید؛ آن‌ها می‌توانند حتی وقتی تهدیدها هنوز در مرحله‌ی ناشناختگی به سر می‌برند نیز مورد شناسایی قرار گیرند.

اکسپلویتِ آسیب‌پذیریِ CVE-2019-0859 ابتدا با استفاده از «موتور شناسایی رفتار[2]» و فناوری‌های «جلوگیریِ خودکار از اکسپلویت[3]» شناسایی شد که در حقیقت بخشی از راه‌حل اندپوینت سکیوریتیِ کسپرسکی برای کسب و کار [4] به حساب می‌آیند.

اگر مدیران یا تیم امنیت اطلاعات به درک عمیق‌تری از روش‌های شناسایی تهدیدهای روز صفرِ مایکروسافت نیاز دارند پیشنهاد ما روز صفرهای سه‌ماهه‌ی ویندوزی است.

[1]یک پنجره‌ی موقتی که اپلیکیشن برای بازیابی ورودی کاربر استفاده می‌کند.

[2] Behavioral Detection Engine

[3] Automatic Exploit Prevention

[4] Kaspersky Endpoint Security for Business

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.