یک محقق امنیتی جزئیات فنی یک آسیبپذیری جدید از نوع “روز-صفر” را افشا کرده است که نسخ مختلفی از سیستمعامل Windows از آن تاثیر میپذیرند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، این آسیبپذیری مورد بررسی قرار گرفته است.
ضعف امنیتی مذکور از نوع “ترفیع امتیازی” (Privilege Elevation) بوده و سوءاستفاده از آن منجر به دستیابی به امتیازات کاربر با سطح دسترسی بالا به صورت محلی در تمامی نسخ Windows از جمله Windows 11 ،Windows 10 و Windows Server 2022 میشود.
به عبارتی با استفاده از این آسیبپذیری، مهاجمان دارای دسترسی محدود، میتوانند به راحتی در یک دستگاه هک شده، امتیازات و سطح دسترسی خود را افزایش داده و آلودگی را در شبکه توسعه دهند.
18 آبان ماه، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماه نوامبر 2021 را منتشر کرد. در مجموعه اصلاحیههای مذکور، این شرکت یک آسیبپذیری از نوع “Windows Installer Elevation of Privilege Vulnerability” را با شناسه CVE-2021-41379 برطرف کرد.
یکی از محققان امنیتی پس از بررسی اصلاحیه امنیتی نوامبر مایکروسافت و وصله آسیبپذیری مذکور، یک آسیبپذیری جدید و قدرتمند دیگری را شناسایی نموده که موجب “ترفیع امتیازی” شده و از نوع “روز صفر” میباشد.
این محقق یک نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) نیز از آن ضعف امنیتی “روز-صفر” در GitHub به آدرس زیر منتشر نموده که تحت شرایط خاصی دستیابی به سطح دسترسی SYSTEM را فراهم میکند.
https://github.com/klinix5/InstallerFileTakeOver
وی همچنین توضیح داده که همه نسخ Windows از جمله Windows 11 و Windows Server 2022 از این ضعف امنیتی متاثر میشوند.
محقق مذکور در ادامه عنوان نموده که ضعف امنیتی CVE-2021-41379 به درستی ترمیم نشده و اقدام به وصله آن نخواهد کرد زیرا منجر به آسیبپذیری بسیار مخربتری میشود.
محققان، ضعف امنیتی مذکور را با بکارگیری نمونه اثباتگری که محقق مذکور ارائه داده، بر روی یک سیستمعامل کاملاً بهروزرسانی شده، آزمایش کردهاند. آنها تنها در عرض چند ثانیه، از طریق یک حساب کاربری “Standard” با سطح دسترسی پایین، موفق به باز کردن خط فرمان (Command Prompt) با امتیازات SYSTEM شدهاند. امتیازات SYSTEM بالاترین حق دسترسی برای کاربران Windows است که انجام هر یک از فرامین سیستمعامل را ممکن میسازد.
علاوه بر این، محقق مذکور توضیح داد که اگرچه میتوان از طریق اعمال و پیکربندی Group Policy از انجام عملیات نصب فایلهای MSIو(MSI Installer Operations) توسط کاربران «Standard» جلوگیری کرد، ضعف امنیتی “روز–صفر” جدید همچنان این پیکربندی را نیز دور میزند و به هر حال کار خواهد کرد.
محققی که ضعفامنیتی مذکور را کشف نموده است، در خصوص علت افشای عمومی آسیبپذیری مذکور به همراه نمونه اثباتگر آن، عنوان نموده که مایکروسافت کمتر از مبلغ مورد انتظار وی به او پاداش پرداخت کرده است.
پس از افشای ضعف امنیتی جدید و انتشار عمومی نمونه اثباتگر، محققان امنیتی سیسکو (.Cisco Systems, Inc) در گزارشی اعلام نمودهاند که چندین بدافزار را شناسایی کردهاند که در حال آزمایش آسیبپذیری مذکور و نمونه اثباتگر منتشر شده در حملات کوچک هستند تا در آینده کارزارهای گستردهای را راهاندازی کنند. این امر نشان میدهد که مهاجمان چقدر سریع شروع به بکارگیری ضعف امنیتی و نمونه اثباتگیری که در دسترس عموم قرار گرفته، کردهاند.
توصیه میشود که راهبران امنیتی به دلیل پیچیدگی این آسیبپذیری، منتظر انتشار یک وصله امنیتی از سوی مایکروسافت باشند. همانطور که معمول است، مایکروسافت احتمالاً این آسیبپذیری را در بهروزرسانی بعدی خود در ماه دسامبر برطرف خواهد کرد.
شرکت مایکروسافت نیز اعلام نموده که از افشای اطلاعات مذکور آگاه هستیم و هر کاری را که لازم است برای محافظت از مشتریان و ایمن نگهداشتن آنها انجام خواهیم داد.