در یک سال و نیم گذشته، مهاجمان حداقل از پنج آسیب‌پذیری - از جمله چهار روز صفر - در یک درایور ویندوز حساس در سطح هسته سوء استفاده کرده‌اند.

یک سری گزارش منتشر شده توسط Kaspersky’s Securelist این هفته نه تنها تعداد انگشت شماری از باگ ها، بلکه یک مشکل سیستمی و بزرگتر را در اجرای فعلی سیستم فایل گزارش مشترک ویندوز (CLFS) نشان می دهد.

CLFS یک سیستم ثبت گزارش با کارایی بالا و همه منظوره است که برای کلاینت‌های نرم‌افزاری در حالت کاربر یا هسته در دسترس است. دسترسی به هسته آن، آن را برای هکرهایی که به دنبال امتیازات سیستم سطح پایین هستند، بسیار مفید می‌کند، و طراحی عملکرد محور آن، در سال‌های اخیر مجموعه‌ای از حفره‌های امنیتی را در پی آن ایجاد کرده است که به‌ویژه بازیگران باج‌افزار به آن حمله کرده‌اند.

بوریس لارین، محقق امنیتی اصلی تیم تحلیل و تحقیق جهانی کسپرسکی، به Dark Reading می‌گوید: «درایورهای هسته باید هنگام مدیریت فایل‌ها بسیار مراقب باشند، زیرا اگر آسیب‌پذیری کشف شود، مهاجمان می‌توانند از آن سوء استفاده کرده و امتیازات سیستم را به دست آورند». متأسفانه، "تصمیمات طراحی در Windows CLFS تجزیه ایمن این فایل های CLFS را تقریبا غیرممکن کرده است، که منجر به ظهور تعداد زیادی از آسیب پذیری های مشابه شد."

مشکل ویندوز CLFS

روز صفر سطح Win32k لارین در تحقیقات خود اذعان کرد که کاملاً غیر معمول نیستند. با این حال، او نوشت: «ما قبلاً ندیده بودیم که این همه اکسپلویت درایور CLFS در حملات فعال مورد استفاده قرار گیرد، و سپس ناگهان تعداد زیادی از آنها فقط در یک سال دستگیر شدند. آیا مشکل جدی در راننده CLFS وجود دارد؟

امسال هیچ چیز خاصی در مورد راننده CLFS تغییر نکرده است. در عوض، به نظر می‌رسد مهاجمان همین الان متوجه شده‌اند که در تمام این مدت چه مشکلی وجود دارد: در آن تعادل اجتناب‌ناپذیر و ابدی بین عملکرد و امنیت، بیش از حد به سمت چپ متمایل شده است.

لارین با تشریح تمام روش‌های مختلفی که راننده آن را بر حفاظت اولویت می‌دهد، نوشت: «CLFS شاید خیلی «برای عملکرد بهینه‌شده» باشد. بهتر است به جای خالی کردن ساختارهای هسته که روی یک فایل نوشته شده است، یک قالب فایل معقول داشته باشیم. تمام کار با این ساختارهای هسته (با اشاره گرها) درست در بلوک های خوانده شده از دیسک اتفاق می افتد. از آنجایی که تغییرات در بلوک‌ها و ساختارهای هسته‌ای که در آنجا ذخیره می‌شوند انجام می‌شود، و این تغییرات باید روی دیسک ریخته شوند، کد هر بار که نیاز به دسترسی به چیزی دارد، بلوک‌ها را بارها و بارها تجزیه می‌کند.

وی افزود: «همه این تجزیه با استفاده از افست های نسبی انجام می شود که می تواند به هر مکانی در یک بلوک اشاره کند. اگر یکی از این افست ها در حین اجرا در حافظه خراب شود، عواقب آن می تواند فاجعه بار باشد. اما شاید بدتر از همه، آفست های موجود در فایل BLF روی دیسک را می توان به گونه ای دستکاری کرد که ساختارهای مختلف با هم همپوشانی داشته باشند و منجر به عواقب غیر قابل پیش بینی شود.

مجموع تمام این انتخاب‌های طراحی شامل ثبت داده‌ها و رویدادهای موثر است، اما همچنین بسیاری از باگ‌هایی که به راحتی قابل بهره‌برداری هستند. تنها در سال 2023 وجود داشت CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 - همه با شدت بالا، 7.8 درجه بندی شده در مقیاس CVSS - به عنوان روزهای صفر استفاده می شود، و همچنین یک آسیب پذیری پنجم که قبل از مشاهده هرگونه فعالیت مخرب مرتبط در طبیعت وصله شد. کسپرسکی دریافت که همه اینها توسط مهاجمان مورد استفاده قرار گرفته است - از جمله، برای مثال، بهره برداری گروه باج افزار Nokoyawa از CVE-2023-28252.

بدون نوعی طراحی مجدد، CLFS ممکن است به ارائه فرصت های تشدید برای هکرها ادامه دهد. لارین پیشنهاد می‌کند برای آماده شدن برای آن، «سازمان‌ها باید بر اجرای بهترین شیوه‌های امنیتی تمرکز کنند: همیشه به‌روزرسانی‌های امنیتی را به موقع نصب کنید، محصولات امنیتی را در تمام نقاط پایانی نصب کنید، دسترسی به سرورهای خود را محدود کنید و توجه زیادی به تشخیص‌های ضد ویروسی داشته باشید سرورها، کارمندان را آموزش دهید تا قربانی spear-phishing نشوند.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days