گزارش‌ها حاکی از کشف یک حفره امنیتی تازه در کرنل ویندوز هستند

گزارش‌ها حاکی از کشف یک حفره امنیتی تازه در کرنل ویندوز هستندِ؛ این خبر را در ادامه این مطلب از هنر توسعه و ارتباطات شایگان بخوانید.

محققان به تازگی یک حفره امنیتی را در کرنل ویندوز پیدا کرده‌اند. زیر سیستم Wink32k یا همان کرنل Win32k.sys وظیفه مدیریت ورودی و خروجی صفحه، گرافیک و ویندو منیجر سیستم عامل را بر عهده دارد و نقش رابط بین سخت‌افزارهای مختلف ورودی را بازی می‌کند.

هکرها با استفاده از این حفره امنیتی می‌توانند کدهای موردنظر خود را در سطح کرنل عملیاتی و اجرا کنند و به امتیازات و امکانات بالایی دست پیدا نمایند.

این آسیب‌پذیری با نام CVE-2023-29336 شناخته می‌شود که باعث افزایش دسترسی نفوذکننده یا هکر و در نتیجه دستیابی به اطلاعات سیستم می‌شود. این حفره امنیتی در ابتدا توسط شرکت امنیت سایبری Avast کشف شد. امتیاز این آسیب‌پذیری CVSS 7.8 است زیرا به مهاجمان اجازه افزایش سطح دسترسی در Wink32k را می‌دهد. شرکت Avast از ذکر جزئیات بیشتر در این رابطه خودداری کرده است.

انجمن حسابرسی و کنترل سامانه‌های اطلاعاتی (CISA) برای افزایش آگاهی در مورد این حفره امنیتی و لزوم اعمال به‌روزرسانی‌های امنیتی ویندوز، هشداری را منتشر نمود و این آسیب‌پذیری را به کاتالوگ آسیب‌پذیری‌های مشهور خود اضافه کرد.

دقیقا یک ماه پس از شناسایی این حفره امنیتی، تحلیلگران امنیتی در شرکت امنیت سایبری Numen در مورد نقص امنیتی CVE-2023-29336 جزئیات فنی بیشتری را منتشر کردند.

• شاید به خواندن این موضوع علاقه داشته باشید: بارگذاری درایو‌های مخرب کرنل با سواستفاده از حفره‌های سیاستی ویندوز

عیب‌یابی مجدد حفره امنیتی کرنل

مایکروسافت اذعان کرده که این آسیب‌پذیری و حفره امنیتی تنها بر نسخه‌های قدیمی ویندوز از جمله نسخه‌های قدیمی ویندوز 10، ویندوز سرور و ویندوز 8 تأثیر می‌گذارد و بر ویندوز 11 تأثیری ندارد.

شرکت Numen در گزارش اخیر خود عنوان کرده که اگرچه مهاجمان نمی‌توانند از این حفره امنیتی در ویندوز 11 سوءاستفاده نمایند؛ اما خطر زیادی برای نسخه‌های قبلی ویندوز دارد. مهاجمان می‌توانند با استفاده از این حفره امنیتی عملیات‌های خطرناکی را انجام دهند. این شرکت در طی یک تحلیل عمیق روش‌هایی را که مهاجمان می‌توان از این حفره امنیتی سوءاستفاده نمایند را بررسی کرده است.

با تجزیه‌وتحلیل این آسیب‌پذیری امنیتی در ویندوز سرور 2016، محققان Numen دریافتند که Win32k فقط شی پنجره را قفل می‌کند؛ اما در قفل کردن شیء تودرتوی منو ناکام است.

به گفته محققان علت این امر این است که کدهای منسوخ‌شده در نسخه‌های جدیدتر Win32k کپی شده‌اند و اگر هکرها آدرس خاصی را در حافظه سیستم تغییر دهند می‌تواند اشیا منو را دستکاری کنند. شاید دسترسی مهاجمان به شی منو در حد دسترسی سطح مدیریت نباشد؛ اما از طریق همین مقدار دسترسی نیز هکرها می‌توانند اقدامات سوء موردنظر خود را انجام دهند و به عبارتی نوعی سکوی پرش برای آن‌ها محسوب می‌شود.

• مقالات مرتباط با این موضوع: رفع یک آسیب‌پذیری امنیتی خطرناک در سیستم‌عامل FortiOS و پروکسی وب FortiProxy

کلام آخر

محققان روش‌های مختلف دستکاری چیدمان حافظه، محرک‌های اکسپلویت و تابع‌های سیستم خواندن/نوشتن حافظه را آزمایش کردند و در نهایت یک PoC فعال ایجاد کردند که می‌تواند امتیازات سیستم را افزایش دهد. جزئیات فنی بیشتری در گزارش Numen موجود است.

این نوع آسیب‌پذیری به‌شدت به آدرس‌های heap handle لو رفته وابسته است، و اگر این مشکل به طور کامل برطرف نشود، برای سیستم‌های قدیمی‌تر یک خطر امنیتی باقی می‌ماند.

Numen توصیه می‌کند که ادمین‌های سیستم باید مراقب خواندن و نوشتن‌های غیرعادی در حافظه یا اشیاء ویندوز باشند؛ زیرا ممکن است نشانه‌ای از نفوذ امنیتی به کرنل ویندوز و بهره‌برداری از حفره امنیتی CVE-2023-29336 توسط هکران باشد.

در نهایت توصیه می‌شود که همه کاربران ویندوز از به‌روزرسانی‌های منتشر شده توسط مایکروسافت در ماه می 2023 استفاده نمایند. در این پچ به غیر از نقص امنیتی کرنل، دو آسیب‌پذیری دیگر با شماره مرجع CVE-2023-29325 و CVE-2023-24932 که هکرها فعالانه از آنها سوءاستفاده می‌کردند نیز برطرف شده است.

مناع: bleepingcomputer

سوالات متداول