روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اوایل ماه مارس فناوریهای امنیتیِ پیشگیرانهی ما اکسپلوینتی را کشف کرد. در حقیقت این اکسپلویت برای آسیبپذیریای در ویندوزِ مایکروسافت میباشد. این تحلیل، نشانگرِ آسیبپذیریِ روز صفر در دوست قدیمیمان win32k.sys (که قبلاً چهار بار شاهد آسیبپذیریهای مشابهی در آن بودیم) بود. ما مشکل را به توسعهدهنده گزارش دادیم. بدینترتیب آسیبپذیری با یک وصله (پچ) که تاریخ 10 آوریل عرضه شد برطرف گشت.
با چه آسیبپذیریای طرف حساب هستیم؟
CVE-2019-0859 یک آسیبپذیریِ Use-After-Free در عملکرد سیستم میباشد که کارش مدیریت دیالوگ باکس[1] است (به طور دقیقتر مدیریت انواع مختلف آنها). این الگوی اکسپلویت، نسخههای 64 بیتیِ سیستمعامل را مورد هدف خود قرار میدهد (از ویندوز 7 گرفته تا آخرین ساختههای ویندوز 10).
بهرهبرداری از این آسیبپذیری به بدافزار اجازه میدهد اسکریپتِ نوشتهشده توسط مهاجمین را دانلود و اجرا نماید که در بدترین حالت خود میتواند منجر به نظارت کامل مهاجم روی دستگاه پیسیِ آلوده شود. بدینترتیب مجرمان سایبری میتوانند با استفاده از این آسیبپذیری بکدرِ ساختهشده توسط Windows PowerShell را نصب کنند. اگر بخواهیم به مسئله به طور فرضی نگاه کنیم، این کار به مجرمان سایبری اجازه میدهد تا همچنان مخفی باقی بمانند. از این طریق، پیلود لود میشود و بعد میتوان براحتی به کل سیستم آلوده دسترسی پیدا کرد.
چطور در برابر این اکسپلویت ایمن بمانیم؟
تمامی روشهای حفاظتی زیر بارها در مقالات قبلیمان ذکر شده است و چیز جدیدی هنوز بدانها اضافه نگشته:
ابتدا، برای بستن آسیبپذیری از مایکروسافت، آپدیت را دریافت کنید.
مرتباً همهی نرمافزارهای استفادهشده در کامپیوتر خود را به روز نمایید؛ خصوصاً سیستمعامل که باید به آخرین نسخهی خود به روز شود.
از راهحلهای امنیتی که مجهز به فناوریهای تحلیل رفتار هستند استفاده کنید؛ آنها میتوانند حتی وقتی تهدیدها هنوز در مرحلهی ناشناختگی به سر میبرند نیز مورد شناسایی قرار گیرند.
اکسپلویتِ آسیبپذیریِ CVE-2019-0859 ابتدا با استفاده از «موتور شناسایی رفتار[2]» و فناوریهای «جلوگیریِ خودکار از اکسپلویت[3]» شناسایی شد که در حقیقت بخشی از راهحل اندپوینت سکیوریتیِ کسپرسکی برای کسب و کار[4] به حساب میآیند.
اگر مدیران یا تیم امنیت اطلاعات به درک عمیقتری از روشهای شناسایی تهدیدهای روز صفرِ مایکروسافت نیاز دارند پیشنهاد ما روز صفرهای سهماههی ویندوزی است.
[1]یک پنجرهی موقتی که اپلیکیشن برای بازیابی ورودی کاربر استفاده میکند.
[2] Behavioral Detection Engine
[3] Automatic Exploit Prevention
[4] Kaspersky Endpoint Security for Business
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.