در یک سال و نیم گذشته، مهاجمان حداقل از پنج آسیبپذیری - از جمله چهار روز صفر - در یک درایور ویندوز حساس در سطح هسته سوء استفاده کردهاند.
یک سری گزارش منتشر شده توسط Kaspersky’s Securelist این هفته نه تنها تعداد انگشت شماری از باگ ها، بلکه یک مشکل سیستمی و بزرگتر را در اجرای فعلی سیستم فایل گزارش مشترک ویندوز (CLFS) نشان می دهد.
CLFS یک سیستم ثبت گزارش با کارایی بالا و همه منظوره است که برای کلاینتهای نرمافزاری در حالت کاربر یا هسته در دسترس است. دسترسی به هسته آن، آن را برای هکرهایی که به دنبال امتیازات سیستم سطح پایین هستند، بسیار مفید میکند، و طراحی عملکرد محور آن، در سالهای اخیر مجموعهای از حفرههای امنیتی را در پی آن ایجاد کرده است که بهویژه بازیگران باجافزار به آن حمله کردهاند.
بوریس لارین، محقق امنیتی اصلی تیم تحلیل و تحقیق جهانی کسپرسکی، به Dark Reading میگوید: «درایورهای هسته باید هنگام مدیریت فایلها بسیار مراقب باشند، زیرا اگر آسیبپذیری کشف شود، مهاجمان میتوانند از آن سوء استفاده کرده و امتیازات سیستم را به دست آورند». متأسفانه، "تصمیمات طراحی در Windows CLFS تجزیه ایمن این فایل های CLFS را تقریبا غیرممکن کرده است، که منجر به ظهور تعداد زیادی از آسیب پذیری های مشابه شد."
مشکل ویندوز CLFS
روز صفر سطح Win32k لارین در تحقیقات خود اذعان کرد که کاملاً غیر معمول نیستند. با این حال، او نوشت: «ما قبلاً ندیده بودیم که این همه اکسپلویت درایور CLFS در حملات فعال مورد استفاده قرار گیرد، و سپس ناگهان تعداد زیادی از آنها فقط در یک سال دستگیر شدند. آیا مشکل جدی در راننده CLFS وجود دارد؟
امسال هیچ چیز خاصی در مورد راننده CLFS تغییر نکرده است. در عوض، به نظر میرسد مهاجمان همین الان متوجه شدهاند که در تمام این مدت چه مشکلی وجود دارد: در آن تعادل اجتنابناپذیر و ابدی بین عملکرد و امنیت، بیش از حد به سمت چپ متمایل شده است.
لارین با تشریح تمام روشهای مختلفی که راننده آن را بر حفاظت اولویت میدهد، نوشت: «CLFS شاید خیلی «برای عملکرد بهینهشده» باشد. بهتر است به جای خالی کردن ساختارهای هسته که روی یک فایل نوشته شده است، یک قالب فایل معقول داشته باشیم. تمام کار با این ساختارهای هسته (با اشاره گرها) درست در بلوک های خوانده شده از دیسک اتفاق می افتد. از آنجایی که تغییرات در بلوکها و ساختارهای هستهای که در آنجا ذخیره میشوند انجام میشود، و این تغییرات باید روی دیسک ریخته شوند، کد هر بار که نیاز به دسترسی به چیزی دارد، بلوکها را بارها و بارها تجزیه میکند.
وی افزود: «همه این تجزیه با استفاده از افست های نسبی انجام می شود که می تواند به هر مکانی در یک بلوک اشاره کند. اگر یکی از این افست ها در حین اجرا در حافظه خراب شود، عواقب آن می تواند فاجعه بار باشد. اما شاید بدتر از همه، آفست های موجود در فایل BLF روی دیسک را می توان به گونه ای دستکاری کرد که ساختارهای مختلف با هم همپوشانی داشته باشند و منجر به عواقب غیر قابل پیش بینی شود.
مجموع تمام این انتخابهای طراحی شامل ثبت دادهها و رویدادهای موثر است، اما همچنین بسیاری از باگهایی که به راحتی قابل بهرهبرداری هستند. تنها در سال 2023 وجود داشت CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 - همه با شدت بالا، 7.8 درجه بندی شده در مقیاس CVSS - به عنوان روزهای صفر استفاده می شود، و همچنین یک آسیب پذیری پنجم که قبل از مشاهده هرگونه فعالیت مخرب مرتبط در طبیعت وصله شد. کسپرسکی دریافت که همه اینها توسط مهاجمان مورد استفاده قرار گرفته است - از جمله، برای مثال، بهره برداری گروه باج افزار Nokoyawa از CVE-2023-28252.
بدون نوعی طراحی مجدد، CLFS ممکن است به ارائه فرصت های تشدید برای هکرها ادامه دهد. لارین پیشنهاد میکند برای آماده شدن برای آن، «سازمانها باید بر اجرای بهترین شیوههای امنیتی تمرکز کنند: همیشه بهروزرسانیهای امنیتی را به موقع نصب کنید، محصولات امنیتی را در تمام نقاط پایانی نصب کنید، دسترسی به سرورهای خود را محدود کنید و توجه زیادی به تشخیصهای ضد ویروسی داشته باشید سرورها، کارمندان را آموزش دهید تا قربانی spear-phishing نشوند.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days