[ad_1]

فقط به این دلیل که آسیب پذیری قدیمی است به معنای مفید نبودن آن است. چه هک Adobe Flash باشد و چه سو explo استفاده از EternalBlue برای ویندوز ، حتی اگر سال ها گذشته است ، برخی از روش ها برای کنار گذاشتن هکرها بسیار مناسب هستند. اما به نظر می رسد یک اشکال مهم 12 ساله در همه جا حاضر در آنتی ویروس Windows Defender توسط مهاجمین و مدافعان تا همین اواخر نادیده گرفته شده باشد. هنگامی که مایکروسافت سرانجام آن را وصله کرد ، نکته اصلی این است که مطمئن شوید هکرها سعی در جبران زمان از دست رفته ندارند.

نقص کشف شده توسط محققان شرکت امنیتی SentinelOne ، در راننده ای ظاهر شد که ویندوز دیفندر – سال گذشته به Microsoft Defender تغییر نام داد – برای پاک کردن پرونده ها و زیرساخت های مهاجمی که بدافزار می تواند ایجاد کند ، از آن استفاده کرد. هنگامی که درایور یک پرونده مخرب را حذف می کند ، آن را با یک پرونده جدید جایگزین می کند ، به عنوان چیزی مانند یک مکان ذخیره شده در هنگام حذف ، خوش خیم است. اما محققان دریافته اند که این سیستم به طور خاص این پرونده جدید را بررسی نمی کند. در نتیجه ، یک مهاجم ممکن است پیوندهای استراتژیک سیستم را وارد کند که راننده را به بازنویسی فایل اشتباه یا حتی اجرای کد مخرب هدایت می کند.

Windows Defender برای چنین دستکاری برای مهاجمان بسیار مفید خواهد بود ، زیرا به طور پیش فرض با ویندوز همراه است و بنابراین در صدها میلیون رایانه و سرور در سراسر جهان وجود دارد. برنامه آنتی ویروس همچنین به سیستم عامل اعتماد زیادی دارد و درایور آسیب پذیر برای اثبات حقانیت خود توسط مایکروسافت به صورت رمزنگاری امضا شده است. در عمل ، مهاجمی که از این نقص استفاده می کند می تواند نرم افزار یا داده های کلیدی را حذف کند یا حتی راننده را راهنمایی کند تا کد خودش را برای تصاحب دستگاه اجرا کند.

کاسیف دکل ، محقق ارشد امنیت در SentinelOne ، گفت: “این اشتباه امکان تشدید امتیازات را فراهم می کند.” “نرم افزاری که با امتیازات پایین کار می کند می تواند به امتیازات اداری برسد و دستگاه را به خطر بیندازد.”

SentinelOne اولین اشکال را در اواسط ماه نوامبر به مایکروسافت گزارش کرد و این شرکت روز سه شنبه وصله ای را منتشر کرد. مایکروسافت این آسیب پذیری را به عنوان یک خطر “بالا” ارزیابی کرده است ، اگرچه هشدارهای مهمی وجود دارد. این آسیب پذیری تنها زمانی می تواند مورد سو استفاده قرار گیرد که مهاجم قبلاً از راه دور یا از نظر جسمی به دستگاه مورد نظر دسترسی داشته باشد. این بدان معنی است که این فروشگاه یک مرحله ای برای هکرها نیست و باید در اکثر سناریوهای حمله همراه با سایر سو explo استفاده ها قرار داشته باشد. اما هنوز هم برای هکرهایی که قبلاً چنین دسترسی دارند ، یک هدف جذاب خواهد بود. یک مهاجم می تواند بدون ایجاد دسترسی به حسابهای کاربری ممتاز ، مانند حسابهای سرپرستان ، از نفوذ در هر دستگاه ویندوز برای نفوذ در شبکه یا دستگاه قربانی استفاده کند.

SentinelOne و مایکروسافت توافق دارند که هیچ مدرکی مبنی بر کشف و استفاده از نقص قبل از تجزیه و تحلیل محققان وجود ندارد. و SentinelOne جزئیاتی را در مورد چگونگی استفاده مهاجمان از نقص برای فرصت دادن به مایکروسافت برای انتشار نگهداری کرد. اکنون که یافته ها علنی هستند ، فقط زمان آن است که بازیگران بد نحوه استفاده خود را بفهمند. سخنگوی مایکروسافت خاطرنشان کرد: هرکسی که فوری را در 9 فوریه نصب کند یا به روزرسانی خودکار را فعال کند اکنون محافظت می شود.

در دنیای سیستم های عامل انبوه ، ده سال زمان زیادی برای پنهان کردن آسیب پذیری بد است. و محققان می گویند ممکن است حتی بیشتر از این در ویندوز وجود داشته باشد ، اما بررسی آنها محدود به مدت زمانی بود که ابزار امنیتی VirusTotal اطلاعات محصولات ضد ویروس را ذخیره می کرد. در سال 2009 ، ویندوز ویستا با ویندوز 7 به عنوان نسخه فعلی مایکروسافت جایگزین شد.

محققان معتقدند که این خطا مدت زیادی پنهان شده است زیرا درایور آسیب پذیر مانند درایورهای چاپگر شما به صورت تمام وقت بر روی دیسک سخت رایانه شما ذخیره نمی شود. درعوض ، روی سیستم ویندوزی بنام “کتابخانه پیوند پویا” قرار دارد و Windows Defender فقط در صورت لزوم آن را بارگیری می کند. پس از اتمام درایور ، دوباره از دیسک پاک می شود.

[ad_2]

منبع: sadeh-news.ir