گزارشها حاکی از کشف یک حفره امنیتی تازه در کرنل ویندوز هستند
گزارشها حاکی از کشف یک حفره امنیتی تازه در کرنل ویندوز هستندِ؛ این خبر را در ادامه این مطلب از هنر توسعه و ارتباطات شایگان بخوانید.
محققان به تازگی یک حفره امنیتی را در کرنل ویندوز پیدا کردهاند. زیر سیستم Wink32k یا همان کرنل Win32k.sys وظیفه مدیریت ورودی و خروجی صفحه، گرافیک و ویندو منیجر سیستم عامل را بر عهده دارد و نقش رابط بین سختافزارهای مختلف ورودی را بازی میکند.
هکرها با استفاده از این حفره امنیتی میتوانند کدهای موردنظر خود را در سطح کرنل عملیاتی و اجرا کنند و به امتیازات و امکانات بالایی دست پیدا نمایند.
این آسیبپذیری با نام CVE-2023-29336 شناخته میشود که باعث افزایش دسترسی نفوذکننده یا هکر و در نتیجه دستیابی به اطلاعات سیستم میشود. این حفره امنیتی در ابتدا توسط شرکت امنیت سایبری Avast کشف شد. امتیاز این آسیبپذیری CVSS 7.8 است زیرا به مهاجمان اجازه افزایش سطح دسترسی در Wink32k را میدهد. شرکت Avast از ذکر جزئیات بیشتر در این رابطه خودداری کرده است.
انجمن حسابرسی و کنترل سامانههای اطلاعاتی (CISA) برای افزایش آگاهی در مورد این حفره امنیتی و لزوم اعمال بهروزرسانیهای امنیتی ویندوز، هشداری را منتشر نمود و این آسیبپذیری را به کاتالوگ آسیبپذیریهای مشهور خود اضافه کرد.
دقیقا یک ماه پس از شناسایی این حفره امنیتی، تحلیلگران امنیتی در شرکت امنیت سایبری Numen در مورد نقص امنیتی CVE-2023-29336 جزئیات فنی بیشتری را منتشر کردند.
- شاید به خواندن این موضوع علاقه داشته باشید: بارگذاری درایوهای مخرب کرنل با سواستفاده از حفرههای سیاستی ویندوز
عیبیابی مجدد حفره امنیتی کرنل
مایکروسافت اذعان کرده که این آسیبپذیری و حفره امنیتی تنها بر نسخههای قدیمی ویندوز از جمله نسخههای قدیمی ویندوز 10، ویندوز سرور و ویندوز 8 تأثیر میگذارد و بر ویندوز 11 تأثیری ندارد.
شرکت Numen در گزارش اخیر خود عنوان کرده که اگرچه مهاجمان نمیتوانند از این حفره امنیتی در ویندوز 11 سوءاستفاده نمایند؛ اما خطر زیادی برای نسخههای قبلی ویندوز دارد. مهاجمان میتوانند با استفاده از این حفره امنیتی عملیاتهای خطرناکی را انجام دهند. این شرکت در طی یک تحلیل عمیق روشهایی را که مهاجمان میتوان از این حفره امنیتی سوءاستفاده نمایند را بررسی کرده است.
با تجزیهوتحلیل این آسیبپذیری امنیتی در ویندوز سرور 2016، محققان Numen دریافتند که Win32k فقط شی پنجره را قفل میکند؛ اما در قفل کردن شیء تودرتوی منو ناکام است.
به گفته محققان علت این امر این است که کدهای منسوخشده در نسخههای جدیدتر Win32k کپی شدهاند و اگر هکرها آدرس خاصی را در حافظه سیستم تغییر دهند میتواند اشیا منو را دستکاری کنند. شاید دسترسی مهاجمان به شی منو در حد دسترسی سطح مدیریت نباشد؛ اما از طریق همین مقدار دسترسی نیز هکرها میتوانند اقدامات سوء موردنظر خود را انجام دهند و به عبارتی نوعی سکوی پرش برای آنها محسوب میشود.
- مقالات مرتباط با این موضوع: رفع یک آسیبپذیری امنیتی خطرناک در سیستمعامل FortiOS و پروکسی وب FortiProxy
کلام آخر
محققان روشهای مختلف دستکاری چیدمان حافظه، محرکهای اکسپلویت و تابعهای سیستم خواندن/نوشتن حافظه را آزمایش کردند و در نهایت یک PoC فعال ایجاد کردند که میتواند امتیازات سیستم را افزایش دهد. جزئیات فنی بیشتری در گزارش Numen موجود است.
این نوع آسیبپذیری بهشدت به آدرسهای heap handle لو رفته وابسته است، و اگر این مشکل به طور کامل برطرف نشود، برای سیستمهای قدیمیتر یک خطر امنیتی باقی میماند.
Numen توصیه میکند که ادمینهای سیستم باید مراقب خواندن و نوشتنهای غیرعادی در حافظه یا اشیاء ویندوز باشند؛ زیرا ممکن است نشانهای از نفوذ امنیتی به کرنل ویندوز و بهرهبرداری از حفره امنیتی CVE-2023-29336 توسط هکران باشد.
در نهایت توصیه میشود که همه کاربران ویندوز از بهروزرسانیهای منتشر شده توسط مایکروسافت در ماه می 2023 استفاده نمایند. در این پچ به غیر از نقص امنیتی کرنل، دو آسیبپذیری دیگر با شماره مرجع CVE-2023-29325 و CVE-2023-24932 که هکرها فعالانه از آنها سوءاستفاده میکردند نیز برطرف شده است.
مناع: bleepingcomputer
سوالات متداول
کدام نسخههای ویندوز بیشتر تحت تاثیر حفره امنیتی کرنل هستند؟
طبق گزارشات نسخههای قدیمی ویندوز 10، ویندوز سرور و ویندوز 8 بیشتر در معرض خطر این حفره امنیتی قرار دارند.
حفره امنیتی کرنل چه امتیازی را از CVSS میگیرد؟
سیستم امتیازدهی آسیبپذیری عام یا CVSS امتیاز 7.8 را به این نقص امنیتی میدهد.