ارتباط زنجیرهوار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیتی درباره مجموعهای از حملات بسیار هدفمند که برای به خطر انداختن شبکههای قربانیان از طریق بهرهبرداریهای روز صفر Google Chrome و Microsoft Windows هشدار داده اند.
تصور میشود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.
کسپرسکی توضیح داده است که: "این آسیبپذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگرهای وب کروم و کرومیوم میباشد، بوده است. این آسیبپذیری به مهاجمان اجازه میدهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایندهایی هستند که مسئول بررسی آنچه در تبهای کاربران اتفاق میافتد، میباشند".
به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهرهبرداری با استفاده از اختیارات مربوط به دو آسیبپذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که میتواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap میباشد.
کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژولهای بدافزار را همراه با امتیازات سیستم اجرا میکنند.
هنگامی که آنها با بهرهگیری از این سه نقص جایگاه خود را در شبکههای قربانی مستحکم کردند، ماژولهای استیجر یک دراپر بدافزار مخرب پیچیدهتر را از یک سرور از راه دور اجرا میکنند، که به متعاقب آن خود را بر روی فایلهای اجرایی نصب میکند تا به عنوان جزئی از فایلهای قانونی ویندوز شناخته شود.
کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایلها، ایجاد پروسسها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.
در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیبپذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.
تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شدهای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.
بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیتهای تهدید آمیز با سواستفادههای روز صفر بودهایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".
وی افزود: "اکنون که این آسیبپذیریها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آنها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".
برچسب ها: کرومیوم, Shell Module, Windows Notification Facility, Heap, Chromium, روز صفر, GReAT, گوگل کروم, Patch, cybersecurity, Microsoft, Kaspersky, Google Chrome, windows, Vulnerability, ویندوز, Chrome, مایکروسافت, گوگل, Zero Day, امنیت سایبری, کسپرسکی, آسیب پذیری, Cyber Attacks, حمله سایبری