در ۱۲ اردیبهشت ۱۳۹۸
  • win32k.sys
  • باگ
  • حفره امنیتی

یک حفره امنیتی که به تازگی وصله شده است و تا همین هفته پیش کسی در موردش خبر نداشت حالا در معرض حمله هکرها قرار گرفته است. این حفره اجازه دسترسی کامل را به حمله گران میدهد. این حفره که توسط محققان کاسپراسکی در روز جشن قدیس پاتریک کشف شد، مربوط به مشکلی در کرنل ویندوز در قسمت فضای خالی شده حافظه است که اجازه بالا بردن سطح دسترسی را به مهاجمان میدهد.

 

به گفته محققین این مشکل در حال بهره برداری توسط مهاجمین از طریق حمله مخفی شبکه ای است و سیستم‌های ۶۴ بیتی ویندوز ۷ به بالا در هدف هستند.

 

 مطالعه کنید :  ۵ مورد از تنظیمات امنیتی ویندوز ۱۰ که باید تغییر دهید

 

مهاجمین از این حفره برای ایجاد درب پشتی دائمی در سیستم قربانیان استفاده میکنند تا بتوانند کدهای دلخواه خود را در سطح کرنل اجرا نمایند. بعد از این کار مهاجم میتواند هرکاری که دلش خواست روی سیستم انجام دهد.

خوشبختانه این حفره روز سه شنبه گذشته توسط مایکروسافت وصله شده است و کاربران باید ویندوز خود را به روز رسانی کنند.

 

نحوه ناصحیح مدیریت اشیاء در حافظه

 

بر اساس تحلیل محققین،‌در قسمت win32k.sys کرنل شناسه تابع برای تعریف کلاس پنجره  استفاده می‌شود مانند ScrollBar و Menu و غیره. این باگ به مهاجم اجازه دستکاری پروسه ساخت پنجره را به وسیله اختصاص داده مخرب مخصوص به فیلد شناسه، میدهد.

 

 در زمان اجرا تابع CreateWindowEx پیام WM_NCCREATE را به پنجره که تازه ایجاد شده می فرستد. با استفاده از تابع SetWindowsHookEx امکان ایجاد یک تابع callback که پیام WM_NCCREATE را دریافت میکند وجود خواهد داشت دقیقاً قبل از فراخوانی روال پنجره.

 

در طول اجرای تابع WM_NCCREATE شناسه تابع ۰ می‌شود که اجازه اختصاص داده اضافی را به پنجره توسط مهاجم میدهد.

به همین خاطر، ارسال پیام NCCREATE به عنوان یک عملیات خراب شناسایی می‌شود و بنابراین پنجره MENU-class در‌واقع آماده نمیشود که این موضوع به مهاجم اجازه دسترسی به حافظه تازه آزاد شده را میدهد.

 

ویندوز

 

سوءاستفاده

 

یک مهاجم (که باید به سیستم ورود کرده باشد) میتواند یک برنامه خاص برای سوءاستفاده از این حفره اجرا کند.

 

در حملاتی که بررسی شده است یک برنامه اجرایی بدخواه از چارچوب Powershell با  دستور کد گذاری شده base64 استفاده میکند که به نوبه خود از یک اسکریپت دیگر که در جایی در وب بارگذاری شده است استفاده میکند. آن هم به نوبه خود باز اسکریپت powershell دیگری بارگذاری و اجرا میکند که حاوی کد پوسته ویندوز است.

 

 هدف اصلی کد پوسته، ایجاد پوسته معکوس http  است که به مهاجم امکان دسترسی کامل به سیستم را بدهد.

استفاده از powershell که در دل ویندوز است، همراه با چند دستور کدگذاری ساده،‌ باعث می‌شود تا عملیات خرابکارانه از چشم برنامه‌های ضدویروس پنهان بماند.

 

گروه کاسپراسکی هم از جزییات این حمله فعلاً بی اطلاع است و گفته به محض کشف اطلاعات بیشتر در مورد این سابقه گروه مهاجم و محل آن‌ها اخبار مرتبط را منتشر خواهد کرد.

 

این پنجمین حفره امنیتی از این دست است که همگی تازگی کشف و وصله و بهره برداری شده اند.

 

مابقی آن ها: CVE-2018-8453CVE-2018-8589CVE-2018-8611 ، CVE-2019-0797

 

آخرین مورد به توسط حداقل دو خرابکار معروف مورد بهره برداری قرار گرفته بود.