مایکروسافت آسیب‌پذیری روز-صفرم ویندوز بهره‌برداری‌شده در حملات مرتبط با کره را وصله کرد

به‌روزرسانی‌های وصله‌ی روز سه‌شنبه‌ی ماه دسامبر سال ۲۰۱۹ میلادی مایکروسافت در مجموع ۳۶ آسیب‌پذیری شامل یک آسیب‌پذیری روز-صفرم بهره‌برداری‌شده در حملات مرتبط با کره و یک آسیب‌پذیری روز-صفرم کروم را رفع کرده است. آسیب‌پذیری روز-صفرم ویندوز که به‌تازگی وصله شد با شناسه‌ی CVE-2019-1458 ردیابی می‌شود و یک آسیب‌پذیری ارتقاء امتیاز مربوط به نحوه‌ی مدیریت اشیای حافظه توسط مؤلفه‌ی Win32k است. یک مهاجم می‌تواند از این حفره‌ی امنیتی برای اجرای کد دلخواه در حالت هسته بهره‌برداری کند.

مایکروسافت به خاطر گزارش این آسیب‌پذیری، به آزمایشگاه کسپرسکی پاداش داد و تأیید کرد که از این ضعف امنیتی علیه نسخه‌های قدیمی‌تر ویندوز بهره‌برداری شده است. به‌گفته‌ی کسپرسکی، این آسیب‌پذیری روز-صفرم در پویشی به نام Operation WizardOpium مورد بهره‌برداری قرار گرفته است. این شرکت امنیتی اولین بار در تاریخ ۱ نوامبر، اندکی پس از آن‌که گوگل اعلام کرد که یک آسیب‌پذیری کروم را وصله کرده است، از انجام این عملیات خبر داد.

کسپرسکی بیان می‌کند که بهره‌برداری کروم همچنین از یک بهره‌برداری برای آسیب‌پذیری وصله‌شده توسط مایکروسافت استفاده می‌کند. این امر به مهاجمان اجازه می‌دهد تا امتیازات را در سیستم آسیب‌دیده ارتقاء دهد و جعبه‌ی شنی فرآیند کروم را دور بزند. این شرکت معتقد است که این بهره‌برداری توسط شخصی با نام مستعار Volodya توسعه یافته است که بهره‌برداری‌ها را هم به مجرمان سایبری و هم به گروه‌های تهدید پیشرفته می‌فروشد.

کسپرسکی اعلام کرده است که بهره‌برداری ارتقاء امتیاز در مورد ویندوز ۷ و برخی نسخه‌های ویندوز ۱۰ کار می‌کند اما آخرین نسخه‌های ویندوز ۱۰ تحت تأثیر آن قرار نمی‌گیرند. کسپرسکی تشریح کرد که این آسیب‌پذیری به عملکرد تعویض ویندوز مربوط است. به همین دلیل است که کد این بهره‌برداری از فراخوانی‌های WinAPI برای تقلید عملکرد فشرده شدن کلید استفاده می‌کند. فایل حاوی بهره‌برداری مربوط به CVE-2019-1458 در ۱۰ جولای کامپایل شد.

در ماه نوامبر، کسپرسکی بیان کرد که برخی شباهت‌های کدی کشف کرده است که ارتباط احتمالی با عامل تهدید مرتبط با کره‌ی شمالی به نام لازاروس را نشان می‌دهد. آن‌ها همچنین شباهت‌هایی با حملات راه‌اندازی‌شده توسط DarkHotel کشف کرده‌اند که نهادهایی را که احتمالاً تحت حمایت کره‌ی جنوبی هستند هدف قرار می‌دهد.

هیچ یک از آسیب‌پذیری‌های وصله‌شده توسط مایکروسافت در ماه جاری به‌صورت عمومی منتشر نشده است. از بین آسیب‌پذیری‌های باقی‌مانده، ۷ مورد بحرانی ارزیابی شده است. این آسیب‌پذیری‌ها Git ویژوال استودیو، ویندوز و Hyper-V را تحت تأثیر قرار می‌دهد و همه‌ی آن‌ها امکان اجرای کد از راه دور را فراهم می‌کنند.

منبع

پست‌های مشابه

Leave a Comment