كاسبرسكي لاب تكشف عن ثغرة في “ويندوز”تُستغل لشنّ هجمات من مجموعة تخريبية حديثة

كشف تتقنيات الفحص والحماية التلقائية من كاسبرسكي لاب عن ثغرة أمنية جديدة في النظام “ويندوز”، يعتقد أنهاتُستغلّ فيشنّ هجمات موجّهة من قِبل اثنتين على الأقل من مجموعات التهديدات التخريبية،إحداهما مجموعة SandCatالمكتشفةحديثاً. وتُعتبرهذه الثغرة رابع ثغرة في النظام الذي تنتجه شركة مايكروسوفت يجري الكشف عن إمكانية استغلالها في شنّ هجما تتُعرف باسم “هجمات بلاانتظار” Zero-Day، والتي كشفت عنها تقنيات كاسبرسكي لاب للحماية،والتي تعمل تلقائياً. تم ّإبلاغ مايكروسوفت بالثغرة الأمنيةCVE-2019-0797فسارعت إلى إصدارتصحيح برمجي.

ويظل ّهذا النوع من الثغرات مجهولاً،وبالتالي غيرمصحّح،حتى يتم اكتشافه،مايجعل المهاجمين قادرين على استغلالها في الوصول إلى أنظمة الضحايا وأجهزتهم. وتوجد الثغرة الأمنية المكتشفة في النظام الفرعي للرسوميات في النظام “ويندوز”للحصول على امتيازات الوصول إلى مناطق آمنة وأعلى أهمية في النظام، ما يتيح للمهاجم التحكّم الكامل في حاسوب الضحية. وتُظهرعيّنة البرمجية الخبيثة التي أخضعها باحثو كاسبرسكي لاب للفحص أنال استغلال يستهدف إصدارات نظام التشغيل الواقعة بينWindows 8وWindows 10.

ويرى الباحثون أن الثغرة التي تمّ اكتشافها يمكن استغلالها من قبل العديد من الجهات التخريبية،مثل FruityArmorوSandCat. وتشتهر الأولى بلجوئها إلى “هجمات بلا انتظار” كوسيلة تخريبية في الماضي،بينما المجموعة الثانية تم ّاكتشافها حديثاً.

وقال أنطون إيفانوف، الخبير الأمني لدى كاسبرسكي لاب، إن اكتشاف ثغرة جديدة في “ويندوز”يتم استغلاله بنشاط في الواقع يدل على”أهمية هذه الأدوات الباهظة الثمن والنادرة للجهات التخريبية”،مؤكداً حاجة الشركات إلى حلول أمنية يمكنها تأمين الحماية لها من مثل هذه التهديدات غيرالمعروفة، وأضاف: “يجدّد هذا الاكتشاف تأكيد أهمية التعاون بين قطاع الأمن ومطوري البرمجيات، إذ يُعتبر اكتشاف الأخطاء والإفصاح عنها بمسؤولية والتصحيح الفوري لها أفضل السبل الكفيلة بالحفاظ على المستخدمين في مأمن من التهديدات الجديدة والناشئة”.

وتم ّاكتشاف الثغرة الأمنية المستغلة هذه بتقنيةAutomatic Exploit Preventionمن كاسبرسكي لاب الخاصة بالمنع التلقائي للاستغلال،والمضمَّنة في معظم منتجات الشركة التي تكشف عن الاستغلال بالتعريفات التالية:

• HEUR:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

وتوصي كاسبرسكي لاب باتخاذ الإجراءات الأمنية التالية:

• المسارعة إلى تنزيل التصحيح البرمجي للثغرةالجديدة في النظام “ويندوز” من مايكروسوفت.
• الحرص على تحديث جميع البرمجيات المستخدمة في الشركة بانتظام،ومع نزول أي إصدارتصحيح أمني جديد. وقد تساعد المنتجات الأمنية ذات إمكانيات تقييم الثغرات وإدارةالتصحيحات البرمجية على أتمتةهذه العمليات.
• اختيارحل أمني مثبت مثلKaspersky Endpoint Securityمجهّزبقدرات الكشف المستندة على السلوك،من أجل ضمان حماية فعالة من التهديدات المعروفة والمجهولة،بما فيها تهديدات الاستغلال.
• استخدام أدوات أمنية متقدمة مثلKaspersky Anti Targeted Attack Platform، إذا أصبحت الشركةعُرضة لهجمات موجهة.
• إتاحة وصول فريقا لأمنفي الشركة إلى مصدرموثوق لأحدث المعلومات المتعلقة بالتهديدات الإلكترونية. ويتاح المجال أمام عملاء خدمة Kaspersky Intelligence Reporting للحصول على تقاريرخاصةتتناول أحدث التطوراتفيمشهدالتهديدات. ويمكن التواصل مع الشركة عبرintelreports@kaspersky.com، للحصول على مزيدمنالتفاصيل.
• التأكّد من تدريب الموظفين على أساسيات الأمن الإلكتروني.

يمكن الاطلاع على مزيد من التفاصيل في المدونةSecurelist.com.

وتتاح تسجيل لمحاضرة عبرالويبمقدمة من كاسبرسكي لاب لعرضها عند الطلب،وإلقاء نظرة فاحصة على التقنيات التي اكتشفت هذه الثغرة وغيرها في النظام “ويندوز”.