عثرت تقنيات الكشف المؤتمتة من كاسبرسكي اليوم الموافق 16 ديسمبر 2019 على ثغرة أمنية في نظام التشغيل “ويندوز”، سمحت للمهاجمين باستغلالها للحصول على امتيازات وصول عالية على الأجهزة التي جرت مهاجمتها، مع تمكّنهم من تجنّب آليات الحماية في متصفح الويب الشهير Google Chrome. وجرى استغلال الثغرة المكتشفة حديثًا في عملية WizardOpium التخريبية.
ويسارع المجرمون إلى استغلال الثغرات البرمجية المجهولة في شنّ هجمات بلا انتظار، تُعرف بالاسم Zero-Day، وتمكّنهم من العمل دون أن يلاحظهم أحد لفترة طويلة، ما يتسبب في وقوع أضرار جسيمة. ولا تستطيع حلول الأمن العادية تشخيص إصابة النظام بها النوع من الهجمات ولا يمكنها بالتالي حماية المستخدمين من تهديد لم يتمّ التعرف عليه بعد.
واكتشف باحثو كاسبرسكي الثغرة الأمنية في نظام التشغيل “ويندوز” بفضل استغلالها من قبل مجرمين في شنّ هجوم “بلا انتظار”، بعد أن تمكّنت تقنية كاسبرسكي لمنع الاستغلال، المضمَّنة في معظم منتجات الشركة الأمنية، من اكتشاف هجوم وقع في نوفمبر الماضي في متصفح الويب Google Chrome. وقد سمح هذا الاستغلال للمهاجمين بتنفيذ تعليمات برمجية عشوائية على جهاز الضحية. واكتشف الخبراء، عندما أجروا المزيد من الأبحاث حول هذه العملية التي أطلقوا عليها اسم WizardOpium، ثغرة أخرى إضافة إلى تلك الموجودة في Chrome، هذه المرة في نظام التشغيل “ويندوز”.
واتضح أن الاستغلال المكتشف في “ويندوز” والذي هدف إلى رفع مستوى الامتيازات، كان قد جرى تضمينه في استغلال ثغرة Google Chrome التي اكتشفت قبلًا. واستُغلّت الثغرة للحصول على امتيازات أعلى في الجهاز المصاب وكذلك للهروب من عملية التدقيق عبر صندوق الرمل الخاص بالتطبيق Chrome، وهو مكوِّن صُمّم لحماية المتصفح وجهاز حاسوب الضحية من الهجمات.
وأظهر التحليل التفصيلي للاستغلال الهادف إلى رفع مستوى الامتيازات أن استغلال الثغرة ينتمي إلى البرمجية التشغيلية win32k.sys. ويمكن إساءة استخدام الثغرة الأمنية في أحدث إصدارات “ويندوز 7” المصحّحة، وحتى على بعض إصدارات “ويندوز 10″، في حين لم تتأثر الإصدارات الجديدة من هذا الأخير.
وقال أنطوان إيفانوف الخبير الأمني لدى كاسبرسكي، إن هذا النوع من الهجمات يتطلب موارد هائلة، لكنه يمنح المهاجمين مزايا واسعة، لذلك فإنهم يسعون وراءه ويسعدون باستغلاله، وأضاف: “تتزايد هجمات “بلا انتظار” التي نرصدها في الواقع ومن غير المرجح أن يشهد هذا التوجّه أي تراجع، لذلك فإن على الشركات الاعتماد على أحدث المعلومات المتعلقة بالتهديدات ووضعها في متناول أيدي فرقها الأمنية، مع الحرص على الحصول على التقنيات الوقائية التي يمكنها أن تعثر على التهديدات غير المعروفة بطريقة استباقية”.
وتستطيع منتجات كاسبرسكي أن تكتشف هذا الاستغلال باستخدام PDM:Exploit.Win32.Generic.
وقد جرى مايكروسوفت عن الثغرة الأمنية وتمّ تصحيحها في 10 ديسمبر 2019.
وتوصي كاسبرسكي باتخاذ التدابير الأمنية التالية لمنع تثبيت منافذ خلفية backdoors من خلال هجوم استغلال لثغرة أمنية في “ويندوز”:
تثبيت تصحيح مايكروسوفت للثغرة الجديدة في أسرع وقت، فبمجرد تنزيل التصحيح، لن يعود بإمكان جهة التهديد استغلال الثغرة.
التأكد من تحديث جميع البرمجيات بمجرد إصدار تصحيح أمني جديد، واستخدام منتجات الأمن التي تتمتع بقدرات تقييم الثغرات وإدارة التصحيحات للتأكد من تشغيل هذه العمليات تلقائيًا.
استخدام حل أمني مثبت له قدرات الكشف المستندة على السلوك للحماية من التهديدات غير المعروفة، وذلك مثل Kaspersky Endpoint Security.
التأكد من وصول فريق الأمن إلى أحدث معلومات التهديدات. تتوفر تقارير خاصة حول أحدث التطورات في مجال التهديدات لعملاء خدمة Kaspersky Threat Intelligence. لمزيد من التفاصيل، يمكن التواصل عبر: intelreports@kaspersky.com.
استخدام تقنية صندوق الرمل لتحليل الأجسام المشبوهة. ويمكن الوصول إلى Kaspersky Cloud Sandbox على الموقع https://opentip.kaspersky.com.
—