- حفرهای در قسمت کرنل ویندوز کشف شد.
- هکرها از طریق حمله مخفی شبکهای از این مشکل بهرهبرداری میکنند و سیستمهای 64 بیتی ویندوز 7 به بالا را هدف قرار میدهند.
یک حفره امنیتی در کرنل ویندوز، که تا همین چندی پیش کسی در مورد آن اطلاعی نداشت، بهتازگی وصله شد و حالا در معرض حمله هکرها قرار دارد.
این حفره که توسط محققان کاسپراسکی در روز جشن قدیس پاتریک کشف شد؛ در واقع مربوط به مشکلی در کرنل ویندوز در قسمت فضای خالی حافظه است، که در نهایت به مهاجمان امکان افزایش سطح دسترسی را، میدهد.
هکرها از طریق حمله مخفی شبکهای از این مشکل بهرهبرداری میکنند و سیستمهای ۶۴ بیتی ویندوز ۷ به بالا را هدف قرار میدهند.
آنها از این حفره برای ایجاد درب پشتی دائمی در سیستم قربانیان استفاده میکنند تا بتوانند کدهای دلخواه خود را در سطح کرنل اجرا نمایند. بعد از این کار مهاجم میتواند هرکاری که دلش میخواهد را روی سیستم شما، انجام دهد.
خوشبختانه این حفره روز سه شنبه گذشته توسط مایکروسافت وصله شد. کاربران تنها کافیست که ویندوز خود را بهروزرسانی کنند، تا بهطور کامل این مشکل برطرف شود.
در ضمن اگر بهدنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، میتوانید مقالهی ما را در مورد ضرورت استفاده از یک آنتیویروس مطمئن و معتبر، مطالعه کنید.
عملکرد نادرست مدیریت اشیاء در حافظه
بر اساس تحلیل محققین،در قسمت win32k.sys کرنل از شناسه تابع برای تعریف کلاس پنجره استفاده میشود. مانند ScrollBar و Menu و غیره. این باگ به مهاجم اجازه دستکاری پروسه ساخت پنجره را به وسیله اختصاص دادههای مخرب که مخصوص فیلد شناسه هستند، میدهد.
در زمان اجرا تابع CreateWindowEx پیام WM_NCCREATE را به پنجرهای که تازه ایجاد شده، میفرستد. با استفاده از تابع SetWindowsHookEx امکان ایجاد یک تابع callback که پیام WM_NCCREATE را دریافت میکند، وجود خواهد داشت.
در طول اجرای تابع WM_NCCREATE شناسه تابع صفر میشود. همین امر به مهاجمین امکان اختصاص دادههای اضافی به پنجره را، میدهد.
به همین خاطر، ارسال پیام NCCREATE بهعنوان یک عملیات مخرب شناسایی میشود و بنابراین پنجره MENU-class آماده نمیشود. در نتیجه به مهاجم اجازه دسترسی به حافظه تازه آزاد شده را، میدهد.
سوءاستفاده هکرها از این حفره
مهاجمین میتوانند برنامههای خاصی برای سوءاستفاده از این حفره در کرنل ویندوز را، اجرا کنند.
در حملاتی که بررسی شد، یک برنامه اجرایی مخرب از چارچوب Powershell با دستور کد گذاری base64 استفاده میکند. این دستور بهنوبه خود از یک اسکریپت دیگر که در جایی در وب بارگذاری شده است، استفاده میکند. این دستور هم یک اسکریپت powershell دیگری بارگذاری و اجرا میکند که حاوی کد پوسته ویندوز است.
هدف اصلی کد پوسته، ایجاد پوسته معکوس http است که به مهاجم امکان دسترسی کامل به سیستم را بدهد.
استفاده از powershell همراه با چند دستور کدگذاری ساده، باعث میشود تا عملیات خرابکارانه از چشم برنامههای آنتیویروس پنهان بماند.
گروه کاسپراسکی از جزییات این حمله فعلاً اطلاعی ندارد. این گروه عنوان کرد که بهمحض کسب اطلاعات بیشتر در مورد سابقه گروه مهاجم و محل آنها اخبار مرتبط را منتشر خواهد کرد.
این پنجمین حفره امنیتی از این دست است که بهتازگی کشف، وصله و بهرهبرداری شدهاند.
مابقی آنها: CVE-2018-8453, CVE-2018-8589, CVE-2018-8611 ، CVE-2019-0797 هستند.
آخرین مورد توسط حداقل دو هکر معروف مورد بهره برداری قرار گرفت.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.