یک محقق 4 اکسپلویت برای آسیب‌پذیری‌های روز صفرم ویندوز مایکروسافت را در طی 3 روز منتشر کرد.

یک محقق 4 اکسپلویت برای آسیب‌پذیری‌های روز صفرم ویندوز مایکروسافت را در طی 3 روز منتشر کرد.

یک پژوهشگر امنیتی چهار اکسپلویت از آسیب‌پذیری‌های گزارش نشده قبلی مایکروسافت را در سه روز اخیر منتشر کرده است که می‌تواند به کاربر محلی اجازه ارتقای سطح دسترسی تا سطح مدیریتی را در سیستم‌های آسیب‌پذیر بدهد. اکسپلویت‌های این چهار آسیب‌پذیری - به علاوه پنجمین آسیب‌پذیری که مایکروسافت هفته گذشته آن را رفع کرد - توسط محققی با نام کاربری SandboxEscaper در GitHub پست شده است. این محقق که در گذشته حملاتی را روی آسیب‌پذیری‌های روز صفرم انجام داده است، اولین اکسپلویت را در 21 ماه می و دو اکسپلویت دیگر را دو روز بعد از آن منتشر کرد. به گفته یکی از محققان امنیت کامپیوتر در تیم امنیتی Tripwire به نام Craig Young، خطر ناشی از این نقص‌ها به تنهایی نسبتاً پایین است، اما در ترکیب با چارچوب‌های بدافزاری محبوب می‌تواند به ‌شدت خطرناک باشد. بر خلاف اکسپلویت Task Scheduler که هفته قبل منتشر شد، این باگ‌ها هیچ نیازی به دانستن نام کاربری و گذرواژه توسط مهاجمان ندارند و این مورد به آن معناست که بعضی از این باگ‌ها می‌توانند به صورت واقعی در ترکیب با بدافزارهای دیگر استفاده شوند. انتشار یا افشای آسیب‌پذیری‌های ناشناخته و روز صفرم و همچنین استفاده از کد‌های اکسپلویت آن‌ها، یکی از محبوب‌ترین روش‌های محققان و پژوهشگران آسیب‌پذیری‌ها برای مجازات کردن ارائه‌دهندگان نرم‌افزاری به منظور عدم تمرکز بر روی امنیت نرم‌افزار و محصولاتشان و یا عدم پاسخ به گزارش‌های آسیب‌پذیری این محققان است. پس چون امروزه تاثیرات و نتایج آسیب‌پذیری‌های مورد بهره‌برداری قرار گرفته شده وخیم‌تر شده است، شرکت‌های نرم‌افزاری به طور فزاینده امنیت محصولاتشان را جدی‌تر گرفته‌ و همچنین با محققان برای حل مشکلات و نقص‌ها در فرآیندی شناخته شده به عنوان "افشای هماهنگ" همکاری می‌کنند. مایکروسافت و این محقق روی یکی از آسیب‌پذیری‌ها همکاری کردند که موجب شد که این غول نرم‌افزاری، این آسیب‌پذیری را در اوایل ماه جاری، طی انتشار منظم وصله در روزهای سه‌شنبه نیمه هر ماه رفع کند. مایکروسافت در یک گزارش اعلام کرد که این باگ دارای شناسه CVE-2019-0863 می‌باشد و هر دوی Palo Alto Networks و PolarBear را به ‌عنوان نام‌های مرتبط با SandboxEscaper به حساب آورده است. مخزن GitHub که اکسپلویت‌هایی که توسط محققان منتشر می‌شود را میزبانی می‌کند، با نام PolarBearRepo نامیده شد. با این حال مایکروسافت پس از انتشار این چهار اکسپلویت جدید، باید محتاطانه‌تر و با ملاحظه بیشتری عمل کند. مایکروسافت قسمتی به نام تعهد مشتری را برای بررسی مسائل امنیتی گزارش شده دارد و در اسرع وقت به‌روزرسانی‌ها را برای دستگاه‌های آسیب‌پذیر ارائه می‌دهد. این شرکت همچنین شدیداً خواستار این است که محققان و پژوهشگران، افشای آسیب‌پذیری‌ها را به صورت هماهنگ شده انجام دهند تا خطرات بالقوه برای مشتریان کاهش پیدا کند. SandboxEscaper در چند روز گذشته تعداد 5 اکسپلویت را در GitHub منتشر کرده است. در روز سه شنبه، این محقق یک کد اکسپلویت را به نام BearLPE منتشر کرد که از برنامه Task Schedule به منظور افزایش سطح دسترسی محلی بهره‌برداری می‌کند. افزایش سطح دسترسی محلی از تکنیک‌هایی است که مهاجمان با دور زدن محافظت سیستم‌عامل، قابلیت‌های بیشتری را در سیستم هدف به دست می‌آورند. در روز چهارشنبه این محقق دو مورد اکسپلویت را منتشر کرد، از جمله یکی از آن‌ها با نام AngryPolarBearBug2، که مربوط به مسئله‌ای است که مایکروسافت در هفته گذشته آن را وصله کرد. این محقق در روز پنج شنبه هم دو مورد اکسپلویت دیگر را منتشر کرد. به گفته Satnam Narang، یکی از مهندسین ارشد پژوهشی شرکت امنیتی Tenable، بهره‌برداری از این باگ‌ها عمدتاً آسان است و دو مورد از آسیب‌پذیری‌ها از نوع آسیب‌پذیری‌های شناخته شده به عنوان رقابت برای بدست اوردن شرایط احراز هویت هستند که نیاز به اقدام خاصی را در یک دوره بسیار کوتاه مدت دارند که باعث می‌شود اکسپلویت موفقیت‌آمیز آن‌ها بسیار سخت شود. او همچنین افزود: بهره‌برداری کردن از برخی از این آسیب‌پذیری‌های روز صفرم واقعاً سخت است و برخی از آنها فقط با سیاست‌ها و محصولات و همچنین ابزارهای امنیتی خاصی قابل سوءاستفاده هستند. به گفته Young از Tripwire: از آنجایی که این اکسپلویت‌ها نمی‌توانند از راه دور استفاده شوند، پس به اندازه برخی از حملات خطرناک نیستند. همانند اکسپلویت‌های منتشر شده‌ گذشته از‌ SandboxEscaper، این اکسپلویت‌های او باز هم از نوع ارتقاء سطح دسترسی محلی هستند، به این معنی که مهاجمان تنها پس از کسب جایگاهی در سیستم هدف، می‌توانند از این اکسپلویت استفاده کنند. SandboxEscaper برای افشای بدون هشدار قبلی اکسپلویت‌های ارتقای سطح دسترسی خود به شهرت کنونی خود دست یافته است و این محقق افشای اکسپلویت‌ها را برای بیان نارضایتی خود از صنایع نرم‌افزاری و امنیتی انجام می‌دهد.