هشدار درخصوص ضعف امنیتی روز-صفر در Windows

یک محقق امنیتی جزئیات فنی یک آسیب‌پذیری جدید از نوع “روز-صفر” را افشا کرده است که نسخ مختلفی از سیستم‌عامل Windows از آن تاثیر می‌پذیرند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، این آسیب‌پذیری مورد بررسی قرار گرفته است.

ضعف امنیتی مذکور از نوع “ترفیع امتیازی” (Privilege Elevation) بوده و سوءاستفاده از آن منجر به دستیابی به امتیازات کاربر با سطح دسترسی بالا به صورت محلی در تمامی نسخ Windows از جمله Windows 11 ،Windows 10 و Windows Server 2022 می‌شود.

به عبارتی با استفاده از این آسیب‌پذیری، مهاجمان دارای دسترسی محدود، می‌توانند به راحتی در یک دستگاه هک شده، امتیازات و سطح دسترسی خود را افزایش داده و آلودگی را در شبکه توسعه دهند.

18 آبان ماه، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماه نوامبر 2021 را منتشر کرد. در مجموعه اصلاحیه‌‌های مذکور، این شرکت یک آسیب‌پذیری از نوع “Windows Installer Elevation of Privilege Vulnerability” را با شناسه CVE-2021-41379 برطرف کرد.

یکی از محققان امنیتی پس از بررسی اصلاحیه امنیتی نوامبر مایکروسافت و وصله آسیب‌پذیری مذکور، یک آسیب‌پذیری جدید و قدرتمند دیگری را شناسایی نموده که موجب “ترفیع امتیازی” شده و از نوع “روز صفر” می‌باشد.

این محقق یک نمونه اثبات‌گر (Proof-of-Concept – به اختصار PoC) نیز از آن ضعف امنیتی “روز-صفر” در GitHub به آدرس زیر منتشر نموده که تحت شرایط خاصی دستیابی به سطح دسترسی SYSTEM را فراهم می‌کند.

https://github.com/klinix5/InstallerFileTakeOver

وی همچنین توضیح داده که همه نسخ Windows از جمله Windows 11 و Windows Server 2022 از این ضعف امنیتی متاثر می‌شوند.

محقق مذکور در ادامه عنوان نموده که ضعف امنیتی CVE-2021-41379 به درستی ترمیم نشده و اقدام به وصله آن نخواهد کرد زیرا منجر به آسیب‌پذیری بسیار مخرب‌تری می‌شود.

محققان، ضعف امنیتی مذکور را با بکارگیری نمونه اثبات‌گری که محقق مذکور ارائه داده، بر روی یک سیستم‌عامل کاملاً به‌روزرسانی شده، آزمایش کرده‌اند. آن‌ها تنها در عرض چند ثانیه، از طریق یک حساب کاربری “Standard” با سطح دسترسی پایین، موفق به باز کردن خط فرمان (Command Prompt) با امتیازات SYSTEM شده‌اند. امتیازات SYSTEM بالاترین حق دسترسی برای کاربران Windows است که انجام هر یک از فرامین سیستم‌عامل را ممکن می‌سازد.

علاوه بر این، محقق مذکور توضیح داد که اگرچه می‌توان از طریق اعمال و پیکربندی Group Policy از انجام عملیات نصب فایل‌های MSIو(MSI Installer Operations) توسط کاربران «Standard» جلوگیری کرد، ضعف امنیتی “روز–صفر” جدید همچنان این پیکربندی را نیز دور می‌زند و به هر حال کار خواهد کرد.

محققی که ضعف‌امنیتی مذکور را کشف نموده است، در خصوص علت افشای عمومی آسیب‌پذیری مذکور به همراه نمونه اثبات‌گر آن، عنوان نموده که مایکروسافت کمتر از مبلغ مورد انتظار وی به او پاداش پرداخت کرده است.

پس از افشای ضعف امنیتی جدید و انتشار عمومی نمونه اثبات‌گر، محققان امنیتی سیسکو (.Cisco Systems, Inc) در گزارشی اعلام نموده‌اند که چندین بدافزار را شناسایی کرده‌اند که در حال آزمایش آسیب‌پذیری مذکور و نمونه اثبات‌گر منتشر شده در حملات کوچک هستند تا در آینده کارزارهای گسترده‌ای را راه‌اندازی کنند. این امر نشان می‌دهد که مهاجمان چقدر سریع شروع به بکارگیری ضعف امنیتی و نمونه اثبات‌گیری که در دسترس عموم قرار گرفته، کرده‌اند.

توصیه می‌‌شود که راهبران امنیتی به دلیل پیچیدگی این آسیب‌پذیری، منتظر انتشار یک وصله امنیتی از سوی مایکروسافت باشند. همانطور که معمول است، مایکروسافت احتمالاً این آسیب‌پذیری را در به‌روزرسانی بعدی خود در ماه دسامبر برطرف خواهد کرد.

شرکت مایکروسافت نیز اعلام نموده که از افشای اطلاعات مذکور آگاه هستیم و هر کاری را که لازم است برای محافظت از مشتریان و ایمن نگهداشتن آن‌ها انجام خواهیم داد.