مهاجمین همواره نصب‌گر روز صفر ویندوز را مورد حمله قرار می‌دهند

08 آذر 1400 مهاجمین همواره نصب‌گر روز صفر ویندوز را مورد حمله قرار می‌دهند

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین پیوسته در حال اکسپلویت کردن یک آسیب‌پذیریِ روز صفر نصب‌گر ویندوز هستند. این آسیب‌پذیری زمانی کشف شد که مایکروسافت پچی را برای حفره امنیتیِ دیگری منتشر کرد اما آن آسیب‌پذیری نتوانست به حد کافی مشکلات اصلی و مشکلات نامرتبط را حل کند. محققی به نام عبدالحمید ناصری در طول این یک هفته آسیب‌پذیری‌ِ ارتقای مزیت از یک نصب‌گر ویندوز را کشف کرده است که نامش را CVE-2021-41379 گذاشته‌اند. مایکروسافت این آسیب‌پذیری را چند هفته پیش به عنوان بخشی از آپدیت پچ سه‌شنبه‌ی مخصوص ماه نوامبر پچ کرده بود. با این حال بعد از بررسی این پچ ناصر متوجهِ یک راه دررو و نیز یک باگ روز صفر نگران‌کننده‌تر شد؛ باگی که در واقع دسترسی مجرمان را ارتقا می‌داد. این محقق سه‌شنبه در گیت‌هاب برای باک تازه‌کشف‌شده یک اکسپلویت اثبات مفهوم (POC) پست کرد. به نقل از او این باگ روی همه نسخه‌های هم‌اکنون پشتیبانی‌شده‌ی ویندوز کار می‌کند. اگر این POC که InstallerFileTakeOver نام دارد اکسپلویت شود به ادمین دسترسی‌های ویندوز 10، 11 و ویندوز سرور را خواهد داد (هنگام لاگین به دستگاه ویندوزی آن هم با مرورگر اج).

پژوهش‌های کمکی نیز این اکسپلویت و حملات فعال را تأیید می‌کنند

محققین گروه تحقیقات و اطلاعات امنیت Cisco Talos و نیز سایر مراکز تحقیقاتی تأیید کرده‌اند که POC می‌تواند بازتولید شود و شواهدی هم موجود است مبنی بر اینکه عاملین تهدید تا همین الان نیز دارند این باگ را اکسپلویت می‌کنند. به نقل از پستی در بلاگ Cisco Talos، «این آسیب‌پذیری روی هر نسخه از مایکروسافت ویندوز از جمله ویندوز 11 تمام پچ‌شده و سرور 2022 تأثیر می‌گذارد». مسئول فنی Cisco Talos آقای جیسون شولتز چنین می‌گوید، «تالوس در تلاش بررسی این آسیب‌پذیری و اکسپلویت برای مقاصد پژوهشی از قبل نمونه‌هایی از این بدافزار را شناسایی کرده بود». سایر محققین نیز در توییتر تأیید کردند POC هدفش بالا بردن مزیت‌های لوکال است. کوین بومونت، محقق امنیتی در توییتر خود نیز این اتفاق را تأیید کرد و در ادامه افزود پچ قبلی نتوانسته درست همه باگ‌ها را رفع کند.

کشف و جزئیاتی دیگر

همانطور که مایکروسافت با جزئیات توضیح داده است، CVE-2021-41379 یک آسیب‌پذیری نصب‌گر ویندوز است که به موجب آن افزایش دسترسی میسر می‌شود. در سیستم امتیازدهی به آسیب‌پذیری، این نوع جزو نمونه‌های نادر محسوب می‌شود. با این حال پچ مایکروسافت برای این باگ نتوانست بدرستی کار کند و از این رو ناصری توانست در طول تحلیل خود راه‌درویی در آن مشاهده کند. با این وجود این راه‌دررو یا حفره امنیتی در مقایسه با متغیر CVE-2021-41379 که در طول تحقیق دیگر ناصر کشف‌ شده بود ابعاد کوچک‌تری دارد. برای همین او تصمیم گرفت POC این نقص را نشر دهد. کدی که ناصری نشر داده است برای جایگزین کردن هر فایل قابل‌اجرایی روی سیستم با فایل msi (مهاجم به موجب آن می‌تواند کد را به عنوان ادمین اجرا کند) از DACL[1] استفاده می‌کند.

صبر تا زمان انتشار پچ

POC مربوطه در هر نصب ویندوز پشتیبان اجرا می‌شود؛ از جمله ویندوز 11 و ویندوز سرور 2022 با پچ نوامبر 2021 و نیز در نصب‌های سرور. به نقل از ناصر، «درحالیکه گروه خط‌مشی به طور پیش‌فرض به کاربران استاندارد اجازه‌ی انجام هیچ عملیات MSI را نمی‌دهد، قابلیت نصب ادمین‌محور به نظر می‌آید تماماٌ یک گروه خط‌مشی دورزننده باشد». به دلیل پیچیدگی این آسیب‌پذیری، ناصری بهترین راهکار را برای رفع این خطر صبر کردن برای پچ امنیتی بعدی دانسته. او در اینباره چنین می‌گوید، «هر تلاشی برای پچ کردن این باینری مستقیماً ویندوز اینستالر را می‌شکند و افرادی که سیستم‌هایشان مبتلا شده باید صبر کنند ببینند مایکروسافت قرار است چطور این باگ را از نو پچ کند». یکی از نمایندگان مایکروسافت خطاب به BleepingComputer گفته است این شرکت نسبت به کشف ناصری آگاه است و برای امن نگه داشتن مشتریان خود می‌داند چه اقدامات لازمی را انجام دهد. در آخر این نماینده چنین توضیح می‌دهد که، «مهاجم با استفاده از این متودهای شرح‌داده‌شده باید به حتم از پیش دسترسی و قابلیت اجرای کد را روی دستگاه قربانی مورد هدف می‌داشته است».

 

 [1]  لیست کنترل دسترسی اختیاری

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    4,644,775 ریال9,289,550 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    3,094,550 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    7,432,230 ریال12,387,050 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,643,300 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,643,300 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    6,192,050 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,151,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد