یک حفره امنیتی که به تازگی وصله شده است و تا همین هفته پیش کسی در موردش خبر نداشت حالا در معرض حمله هکرها قرار گرفته است.
مطالعه کنید : ۵ مورد از تنظیمات امنیتی ویندوز ۱۰ که باید تغییر دهید
این حفره اجازه دسترسی کامل را به حمله گران میدهد. این حفره که توسط محققان کاسپراسکی در روز جشن قدیس پاتریک کشف شد، مربوط به مشکلی در کرنل ویندوز در قسمت فضای خالی شده حافظه است که اجازه بالا بردن سطح دسترسی را به مهاجمان میدهد.
مطالعه کنید : ۲۵ حقیقت جالب در مورد ویروسهای کامپیوتری که باید بدانید
به گفته محققین این مشکل در حال بهره برداری توسط مهاجمین از طریق حمله مخفی شبکه ای است و سیستمهای ۶۴ بیتی ویندوز ۷ به بالا در هدف هستند.
مهاجمین از این حفره برای ایجاد درب پشتی دائمی در سیستم قربانیان استفاده میکنند تا بتوانند کدهای دلخواه خود را در سطح کرنل اجرا نمایند. بعد از این کار مهاجم میتواند هرکاری که دلش خواست روی سیستم انجام دهد.
خوشبختانه این حفره روز سه شنبه گذشته توسط مایکروسافت وصله شده است و کاربران باید ویندوز خود را به روز رسانی کنند.
مطالعه کنید : آخرین وصله امنیتی ویندوز باعث خرابی سیستمهای دارای آنتی ویروس میشود.
نحوه ناصحیح مدیریت اشیاء در حافظه
بر اساس تحلیل محققین،در قسمت win32k.sys کرنل شناسه تابع برای تعریف کلاس پنجره استفاده میشود مانند ScrollBar و Menu و غیره. این باگ به مهاجم اجازه دستکاری پروسه ساخت پنجره را به وسیله اختصاص داده مخرب مخصوص به فیلد شناسه، میدهد.
در زمان اجرا تابع CreateWindowEx پیام WM_NCCREATE را به پنجره که تازه ایجاد شده میفرستد. با استفاده از تابع SetWindowsHookEx امکان ایجاد یک تابع callback که پیام WM_NCCREATE را دریافت میکند وجود خواهد داشت دقیقاً قبل از فراخوانی روال پنجره.
در طول اجرای تابع WM_NCCREATE شناسه تابع ۰ میشود که اجازه اختصاص داده اضافی را به پنجره توسط مهاجم میدهد.
به همین خاطر، ارسال پیام NCCREATE به عنوان یک عملیات خراب شناسایی میشود و بنابراین پنجره MENU-class درواقع آماده نمیشود که این موضوع به مهاجم اجازه دسترسی به حافظه تازه آزاد شده را میدهد.
سوءاستفاده
یک مهاجم (که باید به سیستم ورود کرده باشد) میتواند یک برنامه خاص برای سوءاستفاده از این حفره اجرا کند.
در حملاتی که بررسی شده است یک برنامه اجرایی بدخواه از چارچوب Powershell با دستور کد گذاری شده base64 استفاده میکند که به نوبه خود از یک اسکریپت دیگر که در جایی در وب بارگذاری شده است استفاده میکند. آن هم به نوبه خود باز اسکریپت powershell دیگری بارگذاری و اجرا میکند که حاوی کد پوسته ویندوز است.
هدف اصلی کد پوسته، ایجاد پوسته معکوس http است که به مهاجم امکان دسترسی کامل به سیستم را بدهد.
استفاده از powershell که در دل ویندوز است، همراه با چند دستور کدگذاری ساده، باعث میشود تا عملیات خرابکارانه از چشم برنامههای ضدویروس پنهان بماند.
گروه کاسپراسکی هم از جزییات این حمله فعلاً بیاطلاع است و گفته به محض کشف اطلاعات بیشتر در مورد این سابقه گروه مهاجم و محل آنها اخبار مرتبط را منتشر خواهد کرد.
این پنجمین حفره امنیتی از این دست است که همگی تازگی کشف و وصله و بهرهبرداری شدهاند.
مابقی آنها: CVE-2018-8453, CVE-2018-8589, CVE-2018-8611 ، CVE-2019-0797
آخرین مورد به توسط حداقل دو خرابکار معروف مورد بهره برداری قرار گرفته بود.
یک نظر در “حفره امنیتی تازه ویندوز در معرض حمله است”