آشنایی با حفره امنیتی تازه کشف شده در کرنل ویندوز

• حفره‌ای در قسمت کرنل ویندوز کشف شد.

• هکرها از طریق حمله مخفی شبکه‌ای از این مشکل بهره‌برداری می‌کنند و سیستم‌های 64 بیتی ویندوز 7 به بالا را هدف قرار می‌دهند.

یک حفره امنیتی در کرنل ویندوز، که تا همین چندی پیش کسی در مورد آن اطلاعی نداشت، به‌تازگی وصله شد و حالا در معرض حمله هکرها قرار دارد.

 این حفره که توسط محققان کاسپراسکی در روز جشن قدیس پاتریک کشف شد؛ در واقع مربوط به مشکلی در کرنل ویندوز در قسمت فضای خالی حافظه است، که در نهایت به مهاجمان امکان افزایش سطح دسترسی را، می‌دهد.

هکرها از طریق حمله مخفی شبکه‌ای از این مشکل بهره‌برداری می‌کنند و سیستم‌های ۶۴ بیتی ویندوز ۷ به بالا را هدف قرار می‌دهند.

آن‌ها از این حفره برای ایجاد درب پشتی دائمی در سیستم قربانیان استفاده می‌کنند تا بتوانند کدهای دلخواه خود را در سطح کرنل اجرا نمایند. بعد از این کار مهاجم می‌تواند هرکاری که دلش می‌خواهد را روی سیستم شما، انجام دهد.

خوشبختانه این حفره روز سه شنبه گذشته توسط مایکروسافت وصله شد. کاربران تنها کافی‌ست که ویندوز خود را به‌روزرسانی کنند، تا به‌طور کامل این مشکل برطرف شود.

در ضمن اگر به‌دنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، می‌توانید مقاله‌ی ما را در مورد ضرورت استفاده از یک آنتی‌ویروس مطمئن و معتبر، مطالعه کنید.

 عملکرد نادرست مدیریت اشیاء در حافظه

بر اساس تحلیل محققین،‌در قسمت win32k.sys کرنل از شناسه تابع برای تعریف کلاس پنجره  استفاده می‌شود. مانند ScrollBar و Menu و غیره. این باگ به مهاجم اجازه دستکاری پروسه ساخت پنجره را به وسیله اختصاص داده‌های مخرب که مخصوص فیلد شناسه هستند، می‌دهد.

 در زمان اجرا تابع CreateWindowEx پیام WM_NCCREATE را به پنجره‌ای که تازه ایجاد شده، می‌فرستد. با استفاده از تابع SetWindowsHookEx امکان ایجاد یک تابع callback که پیام WM_NCCREATE را دریافت می‌کند، وجود خواهد داشت.

در طول اجرای تابع WM_NCCREATE شناسه تابع صفر می‌شود. همین امر به مهاجمین امکان اختصاص داده‌های اضافی به پنجره را، می‌دهد.

به همین خاطر، ارسال پیام NCCREATE به‌عنوان یک عملیات مخرب شناسایی می‌شود و بنابراین پنجره MENU-class  آماده نمی‌شود. در نتیجه به مهاجم اجازه دسترسی به حافظه تازه آزاد شده را، می‌دهد.

سوءاستفاده‌ هکرها از این حفره

مهاجمین می‌توانند برنامه‌های خاصی برای سوءاستفاده از این حفره در کرنل ویندوز را، اجرا کنند.

در حملاتی که بررسی شد، یک برنامه اجرایی مخرب از چارچوب Powershell با  دستور کد گذاری base64 استفاده می‌کند. این دستور به‌نوبه خود از یک اسکریپت دیگر که در جایی در وب بارگذاری شده است، استفاده می‌کند. این دستور هم یک اسکریپت powershell دیگری بارگذاری و اجرا می‌کند که حاوی کد پوسته ویندوز است.

 هدف اصلی کد پوسته، ایجاد پوسته معکوس http است که به مهاجم امکان دسترسی کامل به سیستم را بدهد.

استفاده از powershell همراه با چند دستور کدگذاری ساده،‌ باعث می‌شود تا عملیات خرابکارانه از چشم برنامه‌های آنتی‌ویروس پنهان بماند.

گروه کاسپراسکی از جزییات این حمله فعلاً اطلاعی ندارد. این گروه عنوان کرد که به‌محض کسب اطلاعات بیشتر در مورد سابقه گروه مهاجم و محل آن‌ها اخبار مرتبط را منتشر خواهد کرد.

این پنجمین حفره امنیتی از این دست است که به‌تازگی کشف، وصله و بهره‌برداری شده‌اند.

مابقی آن‌ها: CVE-2018-8453, CVE-2018-8589, CVE-2018-8611 ، CVE-2019-0797 هستند.

آخرین مورد توسط حداقل دو هکر معروف مورد بهره برداری قرار گرفت.