12 سال است که یک آسیب پذیری Windows Defender در کمین است


12 سال است که یک آسیب پذیری Windows Defender در کمین است

درو اندگر | گتی ایماژ

قدیمی بودن یک آسیب پذیری به معنای مفید نبودن آن است. چه هک Adobe Flash باشد و چه سوiting استفاده از EternalBlue برای ویندوز ، حتی اگر سال ها گذشته است ، برخی از روش ها برای کنار گذاشتن هکرها بسیار مناسب هستند. اما به نظر می رسد یک اشکال مهم 12 ساله در همه جا حاضر در آنتی ویروس Windows Defender توسط مهاجمین و مدافعان تا همین اواخر نادیده گرفته شده باشد. هنگامی که مایکروسافت سرانجام آن را وصله کرد ، نکته اصلی این است که مطمئن شوید هکرها سعی در جبران زمان از دست رفته ندارند.

نقص کشف شده توسط محققان شرکت امنیتی SentinelOne ، در راننده ای ظاهر شد که ویندوز دیفندر – سال گذشته به Microsoft Defender تغییر نام داد – برای پاک کردن پرونده ها و زیرساخت های مهاجمی که بدافزار می تواند ایجاد کند ، از آن استفاده کرد. هنگامی که درایور یک پرونده مخرب را حذف می کند ، آن را با یک پرونده جدید جایگزین می کند ، به عنوان چیزی مانند یک مکان ذخیره شده در هنگام حذف ، خوش خیم است. اما محققان دریافته اند که این سیستم به طور خاص این پرونده جدید را بررسی نمی کند. در نتیجه ، یک مهاجم ممکن است پیوندهای استراتژیک سیستم را وارد کند که راننده را به بازنویسی فایل اشتباه یا حتی اجرای کد مخرب هدایت می کند.

Windows Defender برای چنین دستکاری برای مهاجمان بسیار مفید خواهد بود ، زیرا به طور پیش فرض با ویندوز همراه است و بنابراین در صدها میلیون رایانه و سرور در سراسر جهان وجود دارد. برنامه آنتی ویروس همچنین به سیستم عامل اعتماد زیادی دارد و درایور آسیب پذیر برای اثبات حقانیت خود توسط مایکروسافت به صورت رمزنگاری امضا شده است. در عمل ، مهاجمی که از این نقص استفاده می کند می تواند نرم افزار یا داده های کلیدی را حذف کند یا حتی راننده را راهنمایی کند تا کد خودش را برای تصاحب دستگاه اجرا کند.

کاسیف دکل ، یک محقق ارشد امنیت در SentinelOne ، گفت: “این اشتباه امکان تشدید امتیازات را فراهم می کند.” “نرم افزاری که با امتیازات پایین کار می کند می تواند به امتیازات اداری برسد و دستگاه را به خطر بیندازد.”

SentinelOne اولین اشکال را در اواسط ماه نوامبر به مایکروسافت گزارش کرد و این شرکت روز سه شنبه وصله ای را منتشر کرد. مایکروسافت این آسیب پذیری را به عنوان یک خطر “بالا” ارزیابی کرده است ، اگرچه هشدارهای مهمی وجود دارد. این آسیب پذیری تنها زمانی می تواند مورد سو استفاده قرار گیرد که مهاجم قبلاً از راه دور یا از نظر جسمی به دستگاه مورد نظر دسترسی داشته باشد. این بدان معنی است که این یک فروشگاه یک مرحله ای برای هکرها نیست و باید در اکثر سناریوهای حمله همراه با سایر سوits استفاده ها قرار داشته باشد. اما هنوز هم برای هکرهایی که قبلاً چنین دسترسی دارند ، یک هدف جذاب خواهد بود. یک مهاجم می تواند بدون ایجاد دسترسی به حساب های کاربری ممتاز ، مانند مدیران ، با به خطر انداختن هر دستگاه ویندوز نفوذ بیشتری به شبکه یا دستگاه قربانی داشته باشد.

SentinelOne و مایکروسافت توافق دارند که هیچ مدرکی مبنی بر کشف و استفاده از نقص قبل از تجزیه و تحلیل محققان وجود ندارد. و SentinelOne جزئیاتی را در مورد چگونگی استفاده مهاجمان از نقص برای فرصت دادن به مایکروسافت برای انتشار نگهداری کرد. اکنون که یافته ها علنی هستند ، فقط زمان آن است که بازیگران بد نحوه استفاده خود را بفهمند. سخنگوی مایکروسافت خاطرنشان کرد: هرکسی که در 9 فوریه این hotfix را نصب کند یا به روزرسانی خودکار را فعال کند ، اکنون محافظت می شود.

در دنیای سیستم های عامل انبوه ، ده سال زمان زیادی برای پنهان کردن آسیب پذیری بد است. و محققان می گویند ممکن است حتی مدت زمان بیشتری در ویندوز وجود داشته باشد ، اما بررسی آنها محدود به مدت زمان ذخیره سازی ابزار امنیتی VirusTotal در مورد محصولات ضد ویروس بود. در سال 2009 ، ویندوز ویستا با ویندوز 7 به عنوان نسخه فعلی مایکروسافت جایگزین شد.

محققان معتقدند که این خطا مدت زیادی پنهان شده است زیرا درایور آسیب پذیر مانند درایورهای چاپگر شما به صورت تمام وقت در درایو سخت رایانه شما ذخیره نمی شود. درعوض ، روی سیستم ویندوزی بنام “کتابخانه پیوند پویا” قرار دارد و Windows Defender فقط در صورت لزوم آن را بارگیری می کند. پس از اتمام درایور ، دوباره از دیسک پاک می شود.

دكلل از SentinelOne می گوید: “تیم تحقیقاتی ما متوجه شده اند كه راننده به صورت پویا بارگیری می كند و سپس در صورت عدم نیاز آن را حذف می كند ، كه این رفتار معمول نیست.” “بنابراین ما به آن نگاه کردیم. آسیب پذیری های مشابه ممکن است در محصولات دیگر نیز وجود داشته باشد و ما امیدواریم که با افشای این مورد به دیگران در حفظ امنیت کمک کنیم. “

خطاهای تاریخی هر از چندگاهی ظاهر می شوند ، از خرابی مودم Mac 20 ساله تا خطای 10 ساله زامبی در تلفن های Avaya. توسعه دهندگان و محققان امنیتی نمی توانند هر بار همه چیز را بگیرند. این مورد حتی پیش از این برای مایکروسافت نیز رخ داده است. به عنوان مثال ، در ماه جولای ، این شرکت یک آسیب پذیری 17 ساله Windows DNS بالقوه خطرناک را وصله کرد. مثل خیلی چیزهای دیگر در زندگی ، بهتر است دیر از هرگز.

این داستان در ابتدا در سایت wired.com منتشر شد.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>