روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ همه اپ‌های نرم‌افزاری شامل سیستم‌عامل‌ها آسیب‌پذیری‌ها دارند پس آپدیت‌های منظم برای پچ کردنشان شاید اولین گام به سمت حفظ امنیت سایبری باشد. محققینی که حمله Windows Downdate را اختراع کردند با هدف بازگردانی سیستم ویندوز کاملاً آپدیت‌شده به نسخه قدیمی‌اش که حاوی فایل‌ها و سرویس‌های آسیب‌پذیری بود به این مکانیزم آپدیت حمله کردند. این باعث شد سیستم در معرض اکسپلویت‌های شناخته‌شده و دستکاری‌های سطح عمیق قرار گیرد- از جمله هایپروایزر و کرنل امن. بدتر اینکه آپدیت‌های استاندارد و چک‌های سلامت سیستم گزارش خواهند داد چطور همه‌چیز به روز و روبه‌راه است.

مکانیزم حمله

محققین در واقع دو نقص جداگانه با مکانیزم‌های عملیاتی کمی از هم متفاوت پیدا کردند. یک آسیب‌پذیری با شناسه  CVE-2024-21302 ID و نام Downdate مبتنی بر نقص در پروسه‌ی نصب آپدیت است: اجزاهای آپدیت دانلودشده کنترل و در برابر دستکاری محافظت می‌شوند؛ همینطور به طور دیجیتال امضا می‌شوند اما در یکی از مراحل فوری نصب (بین ریبوت‌ها)، روند آپدیت شروع به ساخت و سپس استفاده از فایلی می کند حاوی فهرستی از اقدامات برنامه‌ریزی‌شده (pending.xml). اگر مهاجمین بتوانند نسخه خودشان را از فایل بسازند و اطلاعاتی در موردش به رجیستری اضافه کنند، سرویس نصب‌گر ماژول‌های ویندوزی (TrustedInstaller) دستورالعمل‌ها را در آن بر اساس ریبوت اجرا خواهد کرد. در واقعیت، محتواهای pending.xml تأیید می‌شوند اما در طول مراحل نصب قبلی این امر انجام می‌گردد؛ یعنی TrustedInstaller آن را از نو تأیید نمی‌کند.

دور زدن VBS و سرقت پسورد

از سال 2015، معمای ویندوز برای جلوگیری از دستکاری کرنل ویندوز که دستکاری کل سیستم را موجب می‌شد از نو طراحی شده. این طیفی از اقدامات که به طور کلی [1]VBS نام گرفته در برمی‌گیرد. از میان کلی موارد دیگر، سیستم هایپروایزر برای ایزوله کردن اجزای سیستم‌عامل استفاده شده و برای اجرای حساس‌ترین عملیات‌ها، ذخیره پسوردها و غیره کرنل امنی ایجاد می‌کند. برای اینکه مهاجمین نتوانند VBS را غیرفعال کنند، ویندوز می‌تواند طوری پیکربندی شود که این امر را محال سازد- حتی با حقوق ادمین. تنها راه غیرفعال کردن این محافظت، ریبوت کامپیوتر در حالت خاص و ورود فرمان کیبورد است. این قابلیت قفل Unified Extensible Firmware Interface نام دارد. حمله Windows Downdate این محدودیت را نیز با جایگزینی فایل‌ها با نسخه‌های دستکاری‌شده، از رده خارج و آسیب‌پذیر دور می‌زند. VBS به‌روز بودن فایل‌های سیستم را چک نمی کند پس آن‌ها می‌توانند با نسخه‌های قدیمی‌تر و آسیب‌پذیر خود عوض شوند بدون اینکه نه پیام خطایی بیاید یا علامت قابل‌شناسایی‌ای نشان داده شود. این یعنی VBS به لحاظ فنی غیرفعال نمی‌شود اما این قابلیت دیگر عملکرد امنیتی خودش را اجرا نمی‌کند. این حمله جایگزینی کرنل امن و فایل‌های هایپروایزر سلامت را با نسخه‌های دو ساله‌ی حاوی چندین آسیب‌پذیری –که اکسپلویتشان به ارتقای مزایا منتج می‌شود- را ممکن می‌سازد. در نتیجه، مهاجمان می‌توانند حداکثر امتیازات سیستم، دسترسی کامل به هایپروایزر و فرآیندهای محافظت از حافظه، و توانایی خواندن آسان اعتبار، رمزهای عبور هش شده و همچنین هش های NTLM را از حافظه به دست آورند (که می‌تواند برای گسترش حمله شبکه استفاده شود).

محافظت در برابر Downdate

مایکروسافت در مورد آسیب‌پذیری‌های Downdate در فوریه 2024 مطلع شد اما آگست بود که جزئیات به عنوان بخشی از عرضه پچ سه‌شنبه ماهانه ارائه شد. رفع باگ‌ها نشان داد کار دشواری است و پیامدهایی نیز بهمراه دارد: کرش برخی سیست‌های ویندوزی. از این رو به جای شتاب در نشر پچ دیگر، مایکروسافت اکنون تنها چند توصیه امنیتی برای کاهش خطرات ارائه داده که با هم بررسی‌شان می‌کنیم:

•         ممیزی کاربران مجاز به انجام عملیات بازیابی و به روز رسانی سیستم، به حداقل رساندن تعداد این کاربران و لغو مجوزها در صورت امکان.
•         پیاده‌سازی لیست‌های کنترل دسترسیACL/DACL) ) برای محدود کردن دسترسی و اصلاح فایل‌های به روزرسانی.
•         پیکربندی مانیتورینگ رویداد برای مواردی که از امتیازات بالا برای تغییر یا جایگزینی فایل‌های به‌روزرسانی استفاده می‌شود - این می‌تواند نشانگر بهره‌برداری از آسیب‌پذیری باشد.
•         به طور مشابه، نظارت بر اصلاح و جایگزینی فایل های مرتبط با زیرسیستم VBS و بک‌آپ از فایل‌های سیستمی.

نظارت بر این رویدادها با استفاده از SIEM و EDR نسبتاً ساده است. با این حال، می‌توان انتظارات مثبت کاذب را داشت، بنابراین تمایز فعالیت قانونی sysadmin از هکرها در نهایت به تیم امنیتی واگذار می شود.

همه موارد فوق نه تنها برای ماشین‌های فیزیکی، بلکه مجازی ویندوز در محیط‌های کلود نیز صدق می‌کند. برای ماشین‌های مجازی در Azure، ما همچنین توصیه می‌کنیم تلاش‌های غیرمعمول برای ورود به سیستم با اعتبار مدیر را پیگیری کنید. MFA را فعال کنید و در صورت شناسایی چنین تلاشی، اعتبارنامه را تغییر دهید. یک نکته جدی‌تر دیگر: امتیازات سرپرست را برای کارمندانی که به آنها نیاز ندارند لغو و مدیران واقعی را موظف کنید فقط اقدامات اداری را در حساب مربوطه خود انجام دهند و از یک حساب جداگانه برای کارهای دیگر استفاده کنند.

فیکس‌های ریسکی

برای آن‌هایی که امنیت بیشتری می‌خواهند، مایکروسافت آپدیت KB5042562 را که شدت CVE-2024-21302 را کم می کند ارائه می‌دهد. با نصب آن، نسخه‌های رده خارج فایل‌های سیستم VBS به فهرست لغوشده اضافه شده و دیگر نمی‌توانند روی کامپیوتر به‌روزشده اجرا شوند. این خط‌مشی (SkuSiPolicy.p7b) در سطح UEFI انجام می‌شود پس موقع استفاده از آن نیاز است نه تنها سیستم‌عامل را  به روز کنید که از مدیای بوت قابل‌جابجایی نیز بک‌آپ بگیرید. همچنین مهم است بدانید که بازگشت به نصب‌های قدیمی ویندوز دیگر امکان پذیر نخواهد بود. علاوه بر این، به‌روزرسانی به اجبار ویژگی User Mode Code Integrity (UMCI) را فعال می‌کند که خود می‌تواند باعث مشکلات سازگاری و عملکرد شود. به طور کلی، به مدیران توصیه می شود که خطرات آن را به دقت ارزیابی کرده و روش و عوارض جانبی احتمالی آن را به طور کامل مطالعه کنند. در آینده، مایکروسافت قول می‌دهد وصله‌ها و اقدامات امنیتی اضافی را برای تمام نسخه‌های مربوطه ویندوز - تا ویندوز 10، نسخه 1507 و ویندوز سرور 2016 منتشر کند.

[1] virtualization-based security

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.