هشدار جدید مایکروسافت برای بروزرسانی ویندوز

مایکروسافت به تازگی به کاربران ویندوز هشداری داده است تا سیستم‌هایشان را بروزرسانی کنند، زیرا حمله‌ روز صفر(zero-day)جدیدی شناسایی شده است.

به گزارش تکناک، این حمله به آسیب‌پذیری در Common Log File System (CLFS) ویندوز مرتبط است. این حمله به مهاجمان اجازه می‌دهد تا به یک سیستم بدون بروزرسانی دسترسی کامل پیدا کنند.

مایکروسافت  در این هفته ۱۳۲ ضعف امنیتی را در تمامی خطوط محصولات خود شناسایی کرده است، از جمله شش ضعف حمله‌ روز صفر که در حال حاضر در حال بهره‌برداری فعال هستند. به دلیل این مسئله، متخصصان امنیت ویندوز به کاربرانشان توصیه می‌کنند تا سیستم خود را بلافاصله به‌روزرسانی کنند.

حمله ZERO-DAY چیست؟

حمله zero – day، نوعی حمله سایبری است که از نقصی در برنامه یا سیستم نرم‌افزاری بهره می‌گیرد که هیچ‌کس قبل از آن آن را نمی‌شناخته است. این آسیب‌پذیری به دلیل عدم شناخت فروشنده نرم‌افزار و عدم وجود پچی برای رفع آن، zero – day نامیده می‌شود. حملات zero – day به عمدتاً خطرناک هستند چراکه می‌توانند برای شروع حملات هدفمند علیه برندها یا افراد خاص استفاده شوند.

جزئیات حمله zero – day ویندوز

حمله zero – day ویندوز، از آسیب‌پذیری در Common Log File System (CLFS) ویندوز بهره می‌برد. این سیستم برای مدیریت فایل‌های لاگ در سیستم‌های ویندوز استفاده می‌شود. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا به سیستمی که هنوز پچی در برابر آن عرضه نشده است، دسترسی کامل پیدا کنند. سپس می‌توانند از آن برای شروع یک حمله باج افزار(ransomware) یا نوعی حمله سایبری دیگر استفاده کنند. به گزارش شرکت امنیتی کسپرسکی، حمله zero – day برای استقرار باج افزار Nokoyawa استفاده شد. این باج افزار به دنبال سرورهای ویندوزی کوچک و متوسط در خاورمیانه، آمریکای شمالی و آسیا می‌گردد.

به گزارش فوربز، یکی از ضعف‌های zero – days، نوعی اجرای کد از راه دور است. گزارش رسمی مایکروسافت ادعا می‌کند که این آسیب‌پذیری با گروه جرایم سایبری روسی RomCom مرتبط است. همچنین، مایکروسافت مدعی است که این گروه احتمالاً زیر نظر اطلاعات روسیه کار می‌کند. آدام بارنت، متخصص ریسک آسیب‌پذیری Rapid7، هشدار می‌دهد که حملات RomCom معمولاً تعداد گسترده‌ای از قربانیان را هدف می‌گیرند. با این حال، مایکروسافت پچ جدیدی دارد و لیست کاملی از آسیب‌پذیری‌هایی که پچ آن‌ها را به‌درستی رفع می‌کند، در راهنمای به‌روزرسانی امنیتی آن قابل مشاهده است.

مایکروسافت ادعا می‌کند که در حال بررسی گزارش‌های مربوط به یک سری آسیب‌پذیری‌های اجرای کد از راه دور است که بر محصولات ویندوز و آفیس تأثیر می‌گذارد. مایکروسافت از حملات هدفمندی که با استفاده از سند‌های ویژه ساخته شده مایکروسافت آفیس، به بهره‌برداری از این آسیب‌پذیری‌ها تلاش می‌کنند، آگاه است. بیایید نگاهی به برخی از zero – dayهای مهمی که شرکت باید با آن‌ها برخورد کند، بیندازیم.

CVE-2023-36884

در حال حاضر، هیچ پچی برای CVE-2023-36884 وجود ندارد و مایکروسافت این را به صورت رسمی تأیید کرده است. با این حال، شرکت ادعا می‌کند که در حال بررسی این مسئله است. شرکت افزوده است که پس از پایان بررسی، اقدامات مناسب را برای کمک به محافظت از مشتریان خود خواهیم‌ کرد.

مایکروسافت به طور طبیعی یک آسیب‌پذیری zero – day به مدت طولانی در فضای عمومی قرار نخواهد داد. بنابراین، پس از اتمام بررسی، احتمالاً منتظر رونمایی از Patch Tuesday بعدی نخواهد بود. همچنین، شرکت احتمالاً پچ را به صورت به‌روزرسانی امنیتی خارج از باند منتشر خواهد کرد. در حال حاضر، مایکروسافت یک پست وبلاگ دارد که راه‌حل موقتی برای کاربران ارائه می‌دهد. اگر به راه‌حل موقت نیاز دارید، اینجا کلیک کنید.

CVE-2023-32046

CVE-2023-32046 یک حمله zero-day است که بر روی هسته MSHTML ویندوز تأثیر می‌گذارد. کو برین، مدیر تحقیقات تهدیدات سایبری در شرکت Immersive Labs می‌گوید: “این محدود به مرورگرها نیست – برنامه‌های دیگری مانند آفیس، اوتلوک و اسکایپ نیز از این مؤلفه استفاده می‌کنند.” برین اضافه می‌کند:

“احتمالاً این آسیب‌پذیری به عنوان ناقل عفونت اولیه استفاده خواهد شد. این به مهاجم اجازه می‌دهد تا در زمانی که کاربر لینک را کلیک یا سند را باز می‌کند، کد اجرا را به دست آورد.”

CVE-2023-36874

این آسیب‌پذیری zero – day عمدتاً به سرویس گزارش خطاهای ویندوز (WER) حمله می‌کند. اگر مهاجم موفق شود، دسترسی ادمین و همچنین دسترسی به سیستم را خواهد داشت. تام بویر، کارشناس امنیت محصول در شرکت Automox می‌گوید: “سرویس WER یک قابلیت در سیستم‌عامل‌های مایکروسافت ویندوز است که در صورت بروز خطاهای خاص در نرم‌افزار، گزارش خطا را جمع‌آوری و به مایکروسافت ارسال می‌کند.”

بویر اضافه می‌کند: “این مشکل zero – day در حال استفاده فعال قرار دارد بنابراین اگر سرویس WER توسط سازمان شما استفاده می‌شود، پیشنهاد می‌کنیم در عرض ۲۴ ساعت پچ را نصب کنید.”

CVE-2023-32049

CVE-2023-32049 یک مسئله دیگر است که در حال حاضر در حال بهره‌برداری قرار دارد و به ویژگی Windows Smart Screen حمله می‌کند. این ظرفیت را دارد که ویژگی Windows Smart Screen را نادیده بگیرد و تغییراتی را ایجاد کند.

کریس گوتل، معاون محصولات امنیتی در شرکت Ivanti می‌گوید: “CVE به عنوان مهم رتبه بندی شده است، اما مایکروسافت تأیید کرده است که گزارش‌های بهره‌برداری از این مسئله، اقدام ضروری را به حداکثر می‌رسانده است.”

چگونه از سیستم خود در برابر حمله ZERO – DAY محافظت کنید

برای محافظت در برابر این حمله zero – day، کاربران ویندوز باید هرچه زود‌تر پچ مایکروسافت را اعمال کنند. کارشناسان امنیتی مانند کو برین هشدار جدی داده‌اند که کاربران باید سیستم‌های خود را فوراً به‌روز کنند. او هشدار داده است: “با وجود ۵ CVE که در حال بهره‌برداری در محیط‌های واقعی هستند و یک راهنمایی برای تکنیک‌های حمله‌کننده نیز در حال بهره‌برداری در محیط‌های واقعی است، این ماه برای اعمال پچ مناسب نیست.” او از کاربران خواسته است که این پچ‌ها را به عنوان اولویت خود قرار دهند تا دستگاه‌هایشان را ایمن نگه دارند.

کلام پایانی

حملات Zero-day تهدید جدی برای برندها و افراد می باشد و کاربران ویندوز باید مواظب باشند. به گزارش Security Week در سال جاری حداقل ۱۹ حمله Zero-day در حال انجام در دنیای دیجیتال بوده است. مایکروسافت در ماه های اخیر چندین مشکل Zero-day را رفع کرده است. بنابراین، برای کاربران مفید است که سیستم خود را به روز کنند تا از این نوع حملات جلوگیری کنند.