نسخههای جدید ویندوز در معرض حملات آسیبپذیری LPE
تعدادی وصله امنیتی غیررسمی به منظور محافظت از کاربران ویندوزی در برابر آسیبپذیری روزصفر ارتقاء سطح دسترسی محلی (Local Privilege Escalation) که به آن LPE نیز گفته میشود منتشر شده است.
به گزارش mydtc از ایسنا، این آسیبپذیری آنطور که مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) گزارش داده است، در سرویس Mobile Device Management وجود دارد و سیستمهای دارای سیستمعامل ویندوز ۱۰ نسخه ۱۸۰۹ و بالاتر را تحت تأثیر قرار میدهد.
این آسیبپذیری امنیتی با شناسه CVE-2021-24084، زیرمجموعه تنظیمات “Access work or school” است و وصله امنیتی منتشرشده توسط مایکروسافت در ماه فوریه را که برای رفع این نقصِ افشای اطلاعات بود، دور میزند.
یک محقق امنیتی به نام عبدالحمید ناصری (که آسیبپذیری اولیه را گزارش کرده بود)، در این ماه کشف کرد که این نقصِ ناقصوصلهشده، میتواند برای به دست آوردن سطح دسترسی ادمین، پس از افشای عمومی این باگ مورد سوءاستفاده قرار گیرد.
میتجا کولسک، یکی از بنیانگذاران 0patch توضیح داد:«آنچه از HiveNightmare/SeriousSAM به دست میآید این است که اگر بدانید کدام فایلها را باید بردارید و با آنها چکار کنید، آنگاه میتوان یک افشای فایل دلخواه را به افزایش سطح دسترسی محلی ارتقاء داد.» در حالی که مایکروسافت به احتمال زیاد متوجه افشای ناصری در ماه ژوئن شده است، این شرکت هنوز باگ LPE را اصلاح نکرده و سیستمهای ویندوز ۱۰ با آخرین بهروزرسانیهای امنیتی نوامبر ۲۰۲۱ را در معرض حملات قرار میدهد.
مهاجمان تنها در صورتی میتوانند از این نقص بهرهبرداری کنند که دو شرط برآورده شود: حداقل یک حساب کاربری administrator محلی باید در سیستم فعال باشد، یا حداقل اطلاعات یک حساب کاربری عضو گروه “Administrator” باید در حافظه نهان ذخیره شده باشد. و System protection باید در درایو C فعال باشد و حداقل یک نقطه بازیابی ایجاد شود، اینکه System protection بهطور پیشفرض فعال است یا خیر، به پارامترهای مختلفی بستگی دارد.
تا زمانی که مایکروسافت بهروزرسانیهای امنیتی را برای رفع این نقص منتشر کند (احتمالاً در Patch Tuesday ماه آینده)، سرویس 0patch micropatch، وصلههای رایگان و غیررسمی را برای همه نسخههای ویندوز ۱۰ آسیبپذیر منتشر کرده است (Windows 10 21H2 نیز تحت تأثیر قرار گرفته است اما هنوز توسط 0patch پشتیبانی نمیشود).
کولسک افزود: «ویندوز سرورها تحت تأثیر این آسیبپذیری قرار ندارند، چراکه عملکرد آسیبپذیر در آنها وجود ندارد. این در حالی است که برخی از ابزارهای similar diagnostics روی سرورها وجود دارند، اما از آنجا که تحت هویت کاربر اجرا میشوند نمیتوانند مورد بهرهبرداری قرار بگیرند.»
همچنین نسخههای قدیمیتر ویندوز به نظر نمیرسد که تحت تأثیر قرار گرفته باشند و در حالی که عملکرد ‘Access work or school’ را دارند، چون رفتار متفاوتی نشان میدهند، بنابراین نمیتوانند مورد بهرهبرداری قرار گیرند. ویندوز ۷ نیز اصلاً ‘Access work or school’ را ندارد. 0patch تا زمانی که مایکروسافت یک وصله رسمی برای این نقص منتشر کند، میکروپچهای رایگان برای این آسیبپذیری ارائه میدهد.
کاربرانی که میخواهند میکروپچها را نصب کنند، میتوانند یک حساب کاربری رایگان در 0patch Central ایجاد کنند، سپس 0patch Agent را از 0patch.com نصب کنند. این شرکت اشاره کرد که نیازی به راهاندازی مجدد کامپیوتر نخواهد بود.
آسیبپذیری روز صفر به این معناست که تا کنون هیچ راهکاری برای آن ارائه نشده و یا شما صفر روز فرصت پیدا کردن راهکار دارید. یکی از ملاکهای حمایت از بدافزارها، تعداد بالای روز صفری است که در آن پشتیبانی میشوند. اغلب آسیبپذیریهای روز صفر توسط گروههای هکر تحت حمایت دولتها یا گروههای تروریستی بزرگ کشف میشوند و مورد سوءاستفاده قرار میگیرند.
از سوی دیگر، کمتوجهی کاربران در بهروزرسانی آنتیویروس و مرورگر، باعث آلوده شدن سیستمها به بدافزارها میشود که از بین رفتن اطلاعات ذخیرهشده را در پی دارد. قربانیان فضای مجازی با بیتوجهی از طریق باز کردن پیوست ایمیلهای اسپم یا لینکهای درون آنها، باز کردن فایلهای دانلود شده آلوده از سایتهای نامعتبر یا کلیک روی لینکهای مخرب، از طریق توزیع تبلیغات آلوده، آلودگی از طریق هک و نفوذ به سیستمها؛ به خصوص سیستمهایی که آسیبپذیری آنها وصله نشده است، مورد سوءاستفاده قرار میگیرند.