مایکروسافت ماه فوریه یک آسیب پذیری با درجه اهمیت بالا در windows kernel را بعد از 6 ماه که متوجه بهره برداری از آن به عنوان یک آسیب پذیری Zero-day شد، رفع نمود!
این آسیب پذیری با شماره شناسایی CVE-2024-21338 یک آسیب پذیری در appid.sys windows AppLocker driver است و در اواخر ماه آگوست توسط یک متخصص امنیت شناسایی و به مایکروسافت گزارش شد.
آسیب پذیری مذکور روی سیستم هایی با نسخه های مختلف ویندوز 10 و 11 و همینطور ویندوز سرور 2019 و 2022 وجود دارد.
به گفته مایکروسافت در صورت بهره برداری موفق از آسیب پذیری مذکور مهاجم می تواند به مجوز های SYSTEM در حملات با پیچیدگی کم دست و بدون نیاز به دخالت کاربر دست یابد.
زمانی که مهاجم وارد سیستم می شود می تواند برنامه موردنظر خود را اجرا کرده و از حفره امنیتی موجود بهره برداری کرده و کنترل سیستم آلوده را به دست گیرد. مایکروسافت این آسیب پذیری را در 13ام فوریه وصله کرد و توصیه نامه ای روز 28 فوریه نیز به روز کرد که نشان دهنده بهره برداری گسترده از این آسیب پذیری بوده اما جزییات بیشتری از حملات مرتبط منتشر نکرده است.
به گفته محققین امنیتی گروه هکری Lazarus از این آسیب پذیری در حملات خود حداقل تا آگوست 2023 استفاده میکرده و دسترسی سطح هسته به دست آورده و ابزارهای امنیتی را غیرفعال می کنند، همچنین این دسترسی به آنها اجازه میدهد تا از تکنیک های شناسایی نیز فرار کنند.
این گروه هکری از آسیب پذیری مذکور برای استقرار یک هسته نوشتن/ خواندن اولیه، بهره برداری کرده و یک نسخه به روز شده روت کیت FudModule برای اجرای مستقیم دستکاری اشیا سطح هسته فعال می کنند. این نسخه جدید FudModule با قابلیت های جدید و مخفیانه و تکنیک های به روز روت کیت برای فرار از شناسایی و خاموش کردن راهکارهایی امنیتی ای مثل AhnLab V3 Endpoint Security، Windows Defender، CrowdStrike Falcon و HitmanPro همراه است.
توصیه می شود کاربران ویندوزی که تا کنون وصله های امنیتی مایکروسافت در ماه فوریه 2024 را دریافت و نصب نکرده اند هر چه زودتر برای محافظت در برابر این حملات، به روز رسانی ویندوز خود را انجام دهند.
امنیت سازمان و Network Segmentation
می 18, 2024
بدون دیدگاه
