در ۱۲ اردیبهشت ۱۳۹۸
  • win32k.sys
  • باگ
  • حفره امنیتی

یک حفره امنیتی که به تازگی وصله شده است و تا همین هفته پیش کسی در موردش خبر نداشت حالا در معرض حمله هکرها قرار گرفته است. این حفره اجازه دسترسی کامل را به حمله گران می‌دهد. این حفره که توسط محققان کاسپراسکی در روز جشن قدیس پاتریک کشف شد، مربوط به مشکلی در کرنل ویندوز در قسمت فضای خالی شده حافظه است که اجازه بالا بردن سطح دسترسی را به مهاجمان می‌دهد.

 

به گفته محققین این مشکل در حال بهره برداری توسط مهاجمین از طریق حمله مخفی شبکه ای است و سیستم‌های ۶۴ بیتی ویندوز ۷ به بالا در هدف هستند.

 

 مطالعه کنید :  ۵ مورد از تنظیمات امنیتی ویندوز ۱۰ که باید تغییر دهید

 

مهاجمین از این حفره برای ایجاد درب پشتی دائمی در سیستم قربانیان استفاده می‌کنند تا بتوانند کدهای دلخواه خود را در سطح کرنل اجرا نمایند. بعد از این کار مهاجم میتواند هرکاری که دلش خواست روی سیستم انجام دهد.

خوشبختانه این حفره روز سه شنبه گذشته توسط مایکروسافت وصله شده است و کاربران باید ویندوز خود را به روز رسانی کنند.

 

نحوه ناصحیح مدیریت اشیاء در حافظه

 

بر اساس تحلیل محققین،‌در قسمت win32k.sys کرنل شناسه تابع برای تعریف کلاس پنجره  استفاده می‌شود مانند ScrollBar و Menu و غیره. این باگ به مهاجم اجازه دستکاری پروسه ساخت پنجره را به وسیله اختصاص داده مخرب مخصوص به فیلد شناسه، می‌دهد.

 

 در زمان اجرا تابع CreateWindowEx پیام WM_NCCREATE را به پنجره که تازه ایجاد شده می فرستد. با استفاده از تابع SetWindowsHookEx امکان ایجاد یک تابع callback که پیام WM_NCCREATE را دریافت می‌کند وجود خواهد داشت دقیقاً قبل از فراخوانی روال پنجره.

 

در طول اجرای تابع WM_NCCREATE شناسه تابع ۰ می‌شود که اجازه اختصاص داده اضافی را به پنجره توسط مهاجم می‌دهد.

به همین خاطر، ارسال پیام NCCREATE به عنوان یک عملیات خراب شناسایی می‌شود و بنابراین پنجره MENU-class در‌واقع آماده نمی‌شود که این موضوع به مهاجم اجازه دسترسی به حافظه تازه آزاد شده را می‌دهد.

 

ویندوز

 

سوءاستفاده

 

یک مهاجم (که باید به سیستم ورود کرده باشد) می‌تواند یک برنامه خاص برای سوءاستفاده از این حفره اجرا کند.

 

در حملاتی که بررسی شده است یک برنامه اجرایی بدخواه از چارچوب Powershell با  دستور کد گذاری شده base64 استفاده می‌کند که به نوبه خود از یک اسکریپت دیگر که در جایی در وب بارگذاری شده است استفاده می‌کند. آن هم به نوبه خود باز اسکریپت powershell دیگری بارگذاری و اجرا میکند که حاوی کد پوسته ویندوز است.

 

 هدف اصلی کد پوسته، ایجاد پوسته معکوس http  است که به مهاجم امکان دسترسی کامل به سیستم را بدهد.

استفاده از powershell که در دل ویندوز است، همراه با چند دستور کدگذاری ساده،‌ باعث می‌شود تا عملیات خرابکارانه از چشم برنامه‌های ضدویروس پنهان بماند.

 

گروه کاسپراسکی هم از جزییات این حمله فعلاً بی اطلاع است و گفته به محض کشف اطلاعات بیشتر در مورد این سابقه گروه مهاجم و محل آن‌ها اخبار مرتبط را منتشر خواهد کرد.

 

این پنجمین حفره امنیتی از این دست است که همگی تازگی کشف و وصله و بهره برداری شده اند.

 

مابقی آن ها: CVE-2018-8453CVE-2018-8589CVE-2018-8611 ، CVE-2019-0797

 

آخرین مورد به توسط حداقل دو خرابکار معروف مورد بهره برداری قرار گرفته بود.