روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین پیوسته در حال اکسپلویت کردن یک آسیب‌پذیریِ روز صفر نصب‌گر ویندوز هستند. این آسیب‌پذیری زمانی کشف شد که مایکروسافت پچی را برای حفره امنیتیِ دیگری منتشر کرد اما آن آسیب‌پذیری نتوانست به حد کافی مشکلات اصلی و مشکلات نامرتبط را حل کند. محققی به نام عبدالحمید ناصری در طول این یک هفته آسیب‌پذیری‌ِ ارتقای مزیت از یک نصب‌گر ویندوز را کشف کرده است که نامش را CVE-2021-41379 گذاشته‌اند. مایکروسافت این آسیب‌پذیری را چند هفته پیش به عنوان بخشی از آپدیت پچ سه‌شنبه‌ی مخصوص ماه نوامبر پچ کرده بود. با این حال بعد از بررسی این پچ ناصر متوجهِ یک راه دررو و نیز یک باگ روز صفر نگران‌کننده‌تر شد؛ باگی که در واقع دسترسی مجرمان را ارتقا می‌داد. این محقق سه‌شنبه در گیت‌هاب برای باک تازه‌کشف‌شده یک اکسپلویت اثبات مفهوم (POC) پست کرد. به نقل از او این باگ روی همه نسخه‌های هم‌اکنون پشتیبانی‌شده‌ی ویندوز کار می‌کند. اگر این POC که InstallerFileTakeOver نام دارد اکسپلویت شود به ادمین دسترسی‌های ویندوز 10، 11 و ویندوز سرور را خواهد داد (هنگام لاگین به دستگاه ویندوزی آن هم با مرورگر اج).

پژوهش‌های کمکی نیز این اکسپلویت و حملات فعال را تأیید می‌کنند

محققین گروه تحقیقات و اطلاعات امنیت Cisco Talos و نیز سایر مراکز تحقیقاتی تأیید کرده‌اند که POC می‌تواند بازتولید شود و شواهدی هم موجود است مبنی بر اینکه عاملین تهدید تا همین الان نیز دارند این باگ را اکسپلویت می‌کنند. به نقل از پستی در بلاگ Cisco Talos، «این آسیب‌پذیری روی هر نسخه از مایکروسافت ویندوز از جمله ویندوز 11 تمام پچ‌شده و سرور 2022 تأثیر می‌گذارد». مسئول فنی Cisco Talos آقای جیسون شولتز چنین می‌گوید، «تالوس در تلاش بررسی این آسیب‌پذیری و اکسپلویت برای مقاصد پژوهشی از قبل نمونه‌هایی از این بدافزار را شناسایی کرده بود». سایر محققین نیز در توییتر تأیید کردند POC هدفش بالا بردن مزیت‌های لوکال است. کوین بومونت، محقق امنیتی در توییتر خود نیز این اتفاق را تأیید کرد و در ادامه افزود پچ قبلی نتوانسته درست همه باگ‌ها را رفع کند.

کشف و جزئیاتی دیگر

همانطور که مایکروسافت با جزئیات توضیح داده است، CVE-2021-41379 یک آسیب‌پذیری نصب‌گر ویندوز است که به موجب آن افزایش دسترسی میسر می‌شود. در سیستم امتیازدهی به آسیب‌پذیری، این نوع جزو نمونه‌های نادر محسوب می‌شود. با این حال پچ مایکروسافت برای این باگ نتوانست بدرستی کار کند و از این رو ناصری توانست در طول تحلیل خود راه‌درویی در آن مشاهده کند. با این وجود این راه‌دررو یا حفره امنیتی در مقایسه با متغیر CVE-2021-41379 که در طول تحقیق دیگر ناصر کشف‌ شده بود ابعاد کوچک‌تری دارد. برای همین او تصمیم گرفت POC این نقص را نشر دهد. کدی که ناصری نشر داده است برای جایگزین کردن هر فایل قابل‌اجرایی روی سیستم با فایل msi (مهاجم به موجب آن می‌تواند کد را به عنوان ادمین اجرا کند) از DACL[1] استفاده می‌کند.

صبر تا زمان انتشار پچ

POC مربوطه در هر نصب ویندوز پشتیبان اجرا می‌شود؛ از جمله ویندوز 11 و ویندوز سرور 2022 با پچ نوامبر 2021 و نیز در نصب‌های سرور. به نقل از ناصر، «درحالیکه گروه خط‌مشی به طور پیش‌فرض به کاربران استاندارد اجازه‌ی انجام هیچ عملیات MSI را نمی‌دهد، قابلیت نصب ادمین‌محور به نظر می‌آید تماماٌ یک گروه خط‌مشی دورزننده باشد». به دلیل پیچیدگی این آسیب‌پذیری، ناصری بهترین راهکار را برای رفع این خطر صبر کردن برای پچ امنیتی بعدی دانسته. او در اینباره چنین می‌گوید، «هر تلاشی برای پچ کردن این باینری مستقیماً ویندوز اینستالر را می‌شکند و افرادی که سیستم‌هایشان مبتلا شده باید صبر کنند ببینند مایکروسافت قرار است چطور این باگ را از نو پچ کند». یکی از نمایندگان مایکروسافت خطاب به BleepingComputer گفته است این شرکت نسبت به کشف ناصری آگاه است و برای امن نگه داشتن مشتریان خود می‌داند چه اقدامات لازمی را انجام دهد. در آخر این نماینده چنین توضیح می‌دهد که، «مهاجم با استفاده از این متودهای شرح‌داده‌شده باید به حتم از پیش دسترسی و قابلیت اجرای کد را روی دستگاه قربانی مورد هدف می‌داشته است».

 [1]  لیست کنترل دسترسی اختیاری

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.