مایکروسافت به تازگی به کاربران ویندوز هشداری داده است تا سیستمهایشان را بروزرسانی کنند، زیرا حمله روز صفر(zero-day)جدیدی شناسایی شده است.
به گزارش تکناک، این حمله به آسیبپذیری در Common Log File System (CLFS) ویندوز مرتبط است. این حمله به مهاجمان اجازه میدهد تا به یک سیستم بدون بروزرسانی دسترسی کامل پیدا کنند.
مایکروسافت در این هفته ۱۳۲ ضعف امنیتی را در تمامی خطوط محصولات خود شناسایی کرده است، از جمله شش ضعف حمله روز صفر که در حال حاضر در حال بهرهبرداری فعال هستند. به دلیل این مسئله، متخصصان امنیت ویندوز به کاربرانشان توصیه میکنند تا سیستم خود را بلافاصله بهروزرسانی کنند.
حمله ZERO-DAY چیست؟
حمله zero – day، نوعی حمله سایبری است که از نقصی در برنامه یا سیستم نرمافزاری بهره میگیرد که هیچکس قبل از آن آن را نمیشناخته است. این آسیبپذیری به دلیل عدم شناخت فروشنده نرمافزار و عدم وجود پچی برای رفع آن، zero – day نامیده میشود. حملات zero – day به عمدتاً خطرناک هستند چراکه میتوانند برای شروع حملات هدفمند علیه برندها یا افراد خاص استفاده شوند.
جزئیات حمله zero – day ویندوز
حمله zero – day ویندوز، از آسیبپذیری در Common Log File System (CLFS) ویندوز بهره میبرد. این سیستم برای مدیریت فایلهای لاگ در سیستمهای ویندوز استفاده میشود. این آسیبپذیری به مهاجمان اجازه میدهد تا به سیستمی که هنوز پچی در برابر آن عرضه نشده است، دسترسی کامل پیدا کنند. سپس میتوانند از آن برای شروع یک حمله باج افزار(ransomware) یا نوعی حمله سایبری دیگر استفاده کنند. به گزارش شرکت امنیتی کسپرسکی، حمله zero – day برای استقرار باج افزار Nokoyawa استفاده شد. این باج افزار به دنبال سرورهای ویندوزی کوچک و متوسط در خاورمیانه، آمریکای شمالی و آسیا میگردد.
به گزارش فوربز، یکی از ضعفهای zero – days، نوعی اجرای کد از راه دور است. گزارش رسمی مایکروسافت ادعا میکند که این آسیبپذیری با گروه جرایم سایبری روسی RomCom مرتبط است. همچنین، مایکروسافت مدعی است که این گروه احتمالاً زیر نظر اطلاعات روسیه کار میکند. آدام بارنت، متخصص ریسک آسیبپذیری Rapid7، هشدار میدهد که حملات RomCom معمولاً تعداد گستردهای از قربانیان را هدف میگیرند. با این حال، مایکروسافت پچ جدیدی دارد و لیست کاملی از آسیبپذیریهایی که پچ آنها را بهدرستی رفع میکند، در راهنمای بهروزرسانی امنیتی آن قابل مشاهده است.
مایکروسافت ادعا میکند که در حال بررسی گزارشهای مربوط به یک سری آسیبپذیریهای اجرای کد از راه دور است که بر محصولات ویندوز و آفیس تأثیر میگذارد. مایکروسافت از حملات هدفمندی که با استفاده از سندهای ویژه ساخته شده مایکروسافت آفیس، به بهرهبرداری از این آسیبپذیریها تلاش میکنند، آگاه است. بیایید نگاهی به برخی از zero – dayهای مهمی که شرکت باید با آنها برخورد کند، بیندازیم.
CVE-2023-36884
در حال حاضر، هیچ پچی برای CVE-2023-36884 وجود ندارد و مایکروسافت این را به صورت رسمی تأیید کرده است. با این حال، شرکت ادعا میکند که در حال بررسی این مسئله است. شرکت افزوده است که پس از پایان بررسی، اقدامات مناسب را برای کمک به محافظت از مشتریان خود خواهیم کرد.
مایکروسافت به طور طبیعی یک آسیبپذیری zero – day به مدت طولانی در فضای عمومی قرار نخواهد داد. بنابراین، پس از اتمام بررسی، احتمالاً منتظر رونمایی از Patch Tuesday بعدی نخواهد بود. همچنین، شرکت احتمالاً پچ را به صورت بهروزرسانی امنیتی خارج از باند منتشر خواهد کرد. در حال حاضر، مایکروسافت یک پست وبلاگ دارد که راهحل موقتی برای کاربران ارائه میدهد. اگر به راهحل موقت نیاز دارید، اینجا کلیک کنید.
CVE-2023-32046
CVE-2023-32046 یک حمله zero-day است که بر روی هسته MSHTML ویندوز تأثیر میگذارد. کو برین، مدیر تحقیقات تهدیدات سایبری در شرکت Immersive Labs میگوید: “این محدود به مرورگرها نیست – برنامههای دیگری مانند آفیس، اوتلوک و اسکایپ نیز از این مؤلفه استفاده میکنند.” برین اضافه میکند:
“احتمالاً این آسیبپذیری به عنوان ناقل عفونت اولیه استفاده خواهد شد. این به مهاجم اجازه میدهد تا در زمانی که کاربر لینک را کلیک یا سند را باز میکند، کد اجرا را به دست آورد.”
CVE-2023-36874
این آسیبپذیری zero – day عمدتاً به سرویس گزارش خطاهای ویندوز (WER) حمله میکند. اگر مهاجم موفق شود، دسترسی ادمین و همچنین دسترسی به سیستم را خواهد داشت. تام بویر، کارشناس امنیت محصول در شرکت Automox میگوید: “سرویس WER یک قابلیت در سیستمعاملهای مایکروسافت ویندوز است که در صورت بروز خطاهای خاص در نرمافزار، گزارش خطا را جمعآوری و به مایکروسافت ارسال میکند.”
بویر اضافه میکند: “این مشکل zero – day در حال استفاده فعال قرار دارد بنابراین اگر سرویس WER توسط سازمان شما استفاده میشود، پیشنهاد میکنیم در عرض ۲۴ ساعت پچ را نصب کنید.”
CVE-2023-32049
CVE-2023-32049 یک مسئله دیگر است که در حال حاضر در حال بهرهبرداری قرار دارد و به ویژگی Windows Smart Screen حمله میکند. این ظرفیت را دارد که ویژگی Windows Smart Screen را نادیده بگیرد و تغییراتی را ایجاد کند.
کریس گوتل، معاون محصولات امنیتی در شرکت Ivanti میگوید: “CVE به عنوان مهم رتبه بندی شده است، اما مایکروسافت تأیید کرده است که گزارشهای بهرهبرداری از این مسئله، اقدام ضروری را به حداکثر میرسانده است.”
چگونه از سیستم خود در برابر حمله ZERO – DAY محافظت کنید
برای محافظت در برابر این حمله zero – day، کاربران ویندوز باید هرچه زودتر پچ مایکروسافت را اعمال کنند. کارشناسان امنیتی مانند کو برین هشدار جدی دادهاند که کاربران باید سیستمهای خود را فوراً بهروز کنند. او هشدار داده است: “با وجود ۵ CVE که در حال بهرهبرداری در محیطهای واقعی هستند و یک راهنمایی برای تکنیکهای حملهکننده نیز در حال بهرهبرداری در محیطهای واقعی است، این ماه برای اعمال پچ مناسب نیست.” او از کاربران خواسته است که این پچها را به عنوان اولویت خود قرار دهند تا دستگاههایشان را ایمن نگه دارند.
کلام پایانی
حملات Zero-day تهدید جدی برای برندها و افراد می باشد و کاربران ویندوز باید مواظب باشند. به گزارش Security Week در سال جاری حداقل ۱۹ حمله Zero-day در حال انجام در دنیای دیجیتال بوده است. مایکروسافت در ماه های اخیر چندین مشکل Zero-day را رفع کرده است. بنابراین، برای کاربران مفید است که سیستم خود را به روز کنند تا از این نوع حملات جلوگیری کنند.
