روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ راهکارهای ما به لطف موتور شناسایی رفتاری و اجزای جلوگیری از اکسپلویت توانستند حملاتی را که قصدشان اکسپلویتِ آسیب‌پذیری روز صفری در CLFS (سیستم لاگ فایل مشترک[1]) بود شناسایی کنند. با ما همراه بمانید.

CLFS در واقع لاگینِ سیستم زیرمجموعه‌ی سیستم‌عامل‌های ویندوز است. بعد از بررسی تمامِ اکسپلویت، تیم GReAT ما با مایکروسافت تماس گرفت و همه یافته‌های خود را با این شرکت به اشتراک گذاشت. توسعه‌دهندگان این آسیب‌پذیری را CVE-2023-28252 مشخص نموده و در تاریخ 4 آوریل نیز طی آپدیت پچ تیوزدیِ ماه آوریل نیز آن را بستند. توصیه می‌کنیم در اسرع وقت این پچ را نصب کنید زیرا آسیب‌پذیری مذکور نه تنها توسط مهاجمین اکسپلویت می‌شود که در حملات باج‌افزاری نیز دارند از آن استفاده می‌کنند.

آسیب‌پذیری CVE-2023-28252 چیست؟

CVE-2023-28252 به درجه آسیب‌پذیری‌های ارتقای مزیت تعلق دارد. برای اکسپلویت آن، مهاجمین باید فایل BLE را برای افزایش مزیت‌هایشان در سیستم دستکاری کرده تا بتوانند به حمله خود ادامه دهند (بدین‌ترتیب باید به مزایای کاربری دسترسی اولیه داشته باشند). طبق معمول، وبسایت سکیورلیست همیشه اطلاعات فنی را ارائه می‌دهد؛ همچنین شاخص‌های دستکاری را نیز اعلام می‌کند اما جزئیات هنوز افشا نشده زیرا ممکن است مجرمان سایبری از آن‌ها برای حملات جدیدتر استفاده کنند. با این وجود متخصصین ما قصد دارند در تاریخ 20 آوریل (یا تاریخی در همین حدود) اطلاعات را به اشتراک بگذارند که امید است تا آن زمان کاربران پچ‌ها را نصب کرده باشند.

آسیب‌پذیری CVE-2023-28252 برای چه استفاده می‌شود؟

برخلاف بیشتر آسیب‌پذیری‌های روز صفر، CVE-2023-28252 در حملات APT مورد استفاده قرار نمی‌گیرد. در این سناریو، پی‌لود نهایی ارسال‌شده به کامپیوترهای قربانی متغیری بوده از باج‌افزار Nokoyawa اما بعد از بررسی این اکسپلویت متخصصین ما نتیجه‌گیری کردند که مهاجمینی که در این ماجرا دست داشتند همچنین متهم به اکسپلویت موارد مشابهی از آسیب‌پذیری‌ها در همان CLFها نیز بوده‌اند. در چنین حملاتی ما شاهد ابزارهای دیگری نیز چون  Cobalt Strike Beacon و بک‌در ماژولار Pipemagic نیز بوده‌ایم.

چطور ایمن بمانیم؟

ابتدا توصیه می‌کنیم آپدیت‌ای آوریل را برای ویندوز نصب کنید. در کل به منظور امنیت‌بخشی به زیرساخت‌تان در مقابله با حملاتی که در آسیب‌پذیری‌های شناخته‌شده یا روز صفر استفاده می‌کنند باید با راهکارهای امنیتی قابل‌اطمینان از کامپیوترها و سرورها محل کار خود محافظت کنید؛ این راهکارها از اکسپلویت آسیب‌پذیری جلوگیری می‌کنند. محصولات ما به طور خودکار حملات از طریق CVE-2023-28252 را و نیز بدافزارهایی که مجرمان سایبری برای این اکسپلویت ساختند شناسایی می‌کنند.

[1] Common Log File System

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.