ثغرتان في "ويندوز" و"إنترنت إكسبلورر" تُستغلان لشنّ هجمات موجهة
في أواخر ربيع العام الجاري، منعت تقنيات كاسبرسكي للكشف المؤتمت عن التهديدات هجومًا موجهًا على شركة كورية جنوبية، كشف التحليل الدقيق أنه استغلّ سلسلة كاملة مجهولة تتألف من ثغرتينبرمجيتين يمكن عبرهما شنّ هجمات بلا انتظار (Zero-day). واستغل المهاجمون إحدى الثغرتين والموجودة في الإصدار 11 من "إنترنت إكسبلورر"Internet Explorer 11في تنفيذ شيفرة برمجية خبيثة عن بُعد، كما استغلوا الثغرة الأخرى الموجودة في النظام "ويندوز" Windowsفي رفع امتيازات الوصول EoP، وذلكفي أحدث نسخ الإصدار العاشر من نظام التشغيل الشهير.
وتُعدّ الثغرة المعروفة بـ "هجوم بلا انتظار" أوZero-day نوعًا من الأخطاء البرمجيةالتي توجد في النظام أو التطبيق البرمجي من دون أن تعرف بها الجهة المطوّرة. ويمكن لمجرمي الإنترنت بمجرد اكتشافها تنفيذ أنشطة تخريبية في غطاء من السريّة، ما يتسبب في إلحاق أضرار جسيمة بالجهة المستهدفة.
وتمكن باحثو كاسبرسكي، أثناء التحقيق في الهجوم المذكور، من العثور على ثغرتين، أولاهماالموجودة في تطبيق Internet Explorer هيUse-After-Free،وتُعدّ نوعًا من الثغرات الأمنية القادرة على تمكين مستغليها من تنفيذ شيفرات برمجية كاملة عن بُعد. وقد مُنحت هذه الثغرة الرمزCVE-2020-1380.
لكن المهاجمون احتاجوا إلى الحصول على مزيد من الامتيازات على الجهاز المصاب، نظرًا لأن Internet Explorer يعمل في بيئة معزولة، ما استدعى استغلالهمللثغرة الأمنية الثانية الموجودة في "ويندوز"، وتحديدًا في خدمة الطباعة، والتي سمحت للمهاجمين بتنفيذ شيفرة برمجية عشوائية على جهاز الضحية. وقد مُنحت هذه الثغرة التي مكّنت المهاجمين من رفع امتيازات الوصول الرمزCVE-2020-0986.
وقال بوريس لارين الخبير الأمني في كاسبرسكي،إن شنّ هجمات "بلا انتظار" التي تستغِلّ الثغرات البرمجية في أنظمة التشغيل والتطبيقات "يثير اهتمام مجتمع الأمن الرقمي"، مؤكّدًا أنالنجاح في اكتشاف مثل هذه الثغرات الأمنية "يدفع المطورين إلى المسارعة لإصدار تصحيحات برمجيةفي تحديثات خاصة، في حين يُطالَب المستخدمون بدورهم بالمسارعة إلى تثبيتها"، وأضاف: "كانت الثغرات السابقة التي وجدناها تتعلق أساسًابرفع الامتيازات،لكن ما يُثير الاهتمام في هذا الهجوم المكتشف أنهيتضمن استغلالًا يتمتع بإمكانات تنفيذ الشيفرات البرمجية عن بُعد،ما يجعله أكثر خطورة، كما أن الهجوم الذي يتسم بالقدرة على التأثير في أحدث إصدارات Windows 10، يُعدّأمرًا نادر الحدوث في الوقت الراهن، وهو يذكرنا بأهمية الاستثمار في معلومات التهديدات البارزة وتقنيات الحماية التي أثبتت قوتها وجدواها، حتى نتمكن من الكشف استباقيًا عن أحدث التهديدات المتعلقة باستغلال الثغرات".
وقد استطاع خبراء كاسبرسكي أن ينسبوا هذا الهجوم إلى عصابةDarkHotel، بمستوى ثقة متوسط، بناءً على أوجه تشابه ضعيفة بين الاستغلال الجديد لهذه الثغرات وعمليات استغلال مكتشفة سابقًا لثغرات أخرى، نُسبتإلى هذه الجهة التخريبية.
هذا وقد جرى إصدار تصحيح خاص لثغرة رفع مستوى الامتيازات CVE-2020-0986 في 9 يونيو 2020. كما صدر تصحيح للثغرة الأمنية التي تسمح بتنفيذ الشيفرات البرمجية عن بُعد CVE-2020-1380 في 11 أغسطس 2020.
