احدث الأخبار

رئيس جمهورية باكستان يستقبل رئيس مجلس الشورى
أبرز المواد
أمير نجران بالنيابة يستقبل الرئيس العام لهيئة الأمر بالمعروف والنهي عن المنكر
أبرز المواد
تنفيذ 1525 برنامجا تدريبيا بتعليم عسير
منطقة عسير
مدير جامعة الملك خالد يرعى حفل النسخة الأولى من جائزة التحول الرقمي
منطقة عسير
مدير جامعة الملك خالد يرعى حفل السلامة والأمن ويلتقي مشرف المكتبة الرقمية
منطقة عسير
أمين الشرقية يصدر قرار بإنشاء مركزاً للتواصل المجتمعي والإهتمام الإنساني
أبرز المواد
التعليم وقوة شرورة تكرم الناجحين من أبناء الشهداء
منطقة نجران
غرفة الأحساء تُؤكد على نجاحات جائزة الريادة والموهبة والإبداع وتزف 113 فائزًا وفائزة في نسختها لهذا العام
المنطقة الشرقية
مستشفى الولادة والأطفال ينظم معرضا لمكافحة العدوى
منطقة تبوك
أبطال حرس الحدود في الحد الجنوبي لـ “المناطق” : نعمل لهدف واحد إما النصر أو الشهادة
أبرز المواد
رئيس مجلس إدارة غرفة حفرالباطن يلتقي عدد من الإعلاميين ويبحث معهم تطوير آلية العمل الإعلامي وتعزيز التعاون
المنطقة الشرقية
الجامعة الإسلامية بالمدينة المنورة تستعرض تجربتها في تنفيذ مشاريع صديقة للبيئة
منطقة المدينة المنورة

كاسبرسكي لاب تكشف عن ثغرة أمنية حرجة في “ويندوز” تستغلها مجموعة إجرامية مجهولة

كاسبرسكي لاب تكشف عن ثغرة أمنية حرجة في “ويندوز” تستغلها مجموعة إجرامية مجهولة
http://almnatiq.net/?p=717644
المناطق_جدة

اكتشفت التقنيات المؤتمتة الخاصة بكاسبرسكي لاب وجود ثغرة أمنية في نظام التشغيل “ويندوز” من مايكروسوفت، كان قد جرى استغلالها من قِبل مجموعة إجرامية مجهولة الهوية في محاولة للسيطرة على جهاز استهدفت نواة نظامه بهجوم عبر منفذ خلفي شُيِّد من أحد العناصر الأساسية في نظام التشغيل.

وتُعدّ المنافذ الخلفية نوعاً خطراً من البرمجيات الخبيثة نظراً لأنها تسمح لجهات التهديد بالتحكم في الأجهزة المصابة بطريقة مستترة لأغراض تخريبية. وعادة ما يكون اكتساب طرف خارجي لامتيازات نفاذ أعلى أمراً يصعب إخفاؤه عن الحلول الأمنية، إلاّ أن المنفذ الخلفي الذي يستغل ثغرة مجهولة في النظام، بشنّ هجمات فورية من دون انتظار Zero-day، تكون فرصته بتخطي الحلول الأمنية أعلى كثيراً. ولا يمكن للحلول الأمنية العادية التعرّف على إصابة النظام، كما لا يمكنها بالطبع حماية المستخدمين من تهديد غير مكتشف.

وعلى الرغم من ذلك، تمكنت تقنية كاسبرسكي لاب الخاصة بمنع الاستغلال من اكتشاف محاولة استغلال الثغرة الأمنية المجهولة في نظام التشغيل “ويندوز” من مايكروسوفت. وتمثّل سيناريو الهجوم الذي عُثر عليه بالشروع في تثبيت البرمجية الخبيثة بمجرّد إطلاق الملف التنفيذي ذي الامتداد exe. واستغلت الإصابة هذه الثغرة وحصلت على امتيازات لضمان استمرار وجودها على الجهاز الضحية. وبدأت البرمجية الخبيثة بعد ذلك في إنشاء منفذ خلفي بالاعتماد على عنصر رسمي وشرعي من عناصر النظام “ويندوز”، متاح على جميع الأجهزة العاملة بنظام التشغيل هذا، وهو بُنية لغة برمجية تُدعى Windows PowerShell. وقد سمح ذلك للجهة التخريبية بالتسلل خِفية متجنبة الاكتشاف، ما أتاح لها الوقت في كتابة التعليمات البرمجية للأدوات الخبيثة، قبل أن تقوم البرمجية الخبيثة بتنزيل منفذ خلفي آخر من خدمة رسمية معروفة لتخزين النصوص، والذي بدوره منح المجرمين سيطرة كاملة على النظام المصاب.

وأشار أنطون إيفانوف الخبير الأمني لدى كاسبرسكي لاب، إلى “توجهين رئيسين” قال إنه تمّت ملاحظتهما في هذا الهجوم وكثيراً ما تُرى في التهديدات المستمرة المتقدمة؛ أولهما يتمثل في استغلال ترقية امتيازات النفاذ المحلية لضمان الاستمرار على الجهاز الضحية، أما الثاني فيكمن في استخدام البُنى الشرعية مثل Windows PowerShell للقيام بنشاط تخريبي على جهاز الضحية، وأضاف موضحاً: “يمنح هذان التوجهان الجهات التخريبية القدرة على تخطي حلول الأمن الأساسية، لذلك ينبغي استخدام حل أمني ينطوي على محركات خاصة بمنع الاستغلال والكشف السلوكي من أجل التمكّن من الكشف عن هذه الأساليب”.

وتكشف حلول كاسبرسكي لاب عن هذا الاستغلال بأشكاله التالية:
• HEUR:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

وقد أبلغت كاسبرسكي لاب مايكروسوفت عن الثغرة التي جرى تصحيحها في 10 إبريل.

وتوصي كاسبرسكي لاب باتخاذ التدابير الأمنية التالية لمنع تثبيت المنافذ الخلفية من خلال ثغرة أمنية في “ويندوز”:

• المسارعة إلى تصحيح التغرة الأمنية في النظام “ويندوز”، فبمجرد تنزيل التصحيح الخاص بالثغرة الأمنية تفقد الجهات التخريبية القدرة على استخدامها.
• التأكد من تحديث جميع البرمجيات المؤسسية بمجرد إصدار أي تصحيح أمني جديد، مع الحرص على استخدام منتجات أمنية قادرة على تقييم الثغرات وإدارة التصحيحات البرمجية للتأكد من أن هذه العمليات تتمّ تلقائياً.
• استخدام حل أمني مثبت له قدرات الكشف المستندة على السلوك، مثل Kaspersky Endpoint Security، للحماية من التهديدات المجهولة.
• التأكد من قدرة فريق الأمن المؤسسي على الحصول على أحدث المعلومات المتعلقة بالتهديدات الإلكترونية. وتتاح تقارير خاصة حول أحدث التطورات في مشهد التهديدات لعملاء Kaspersky Intelligence Reporting. ويمكن الحصول على تفاصيل أوفى عبر التواصل مع [email protected]
• التأكّد من تدريب الموظفين على أساسيات السلامة الشخصية في مجال الأمن الإلكتروني.

يمكن الاطلاع على التقرير الكامل والمفصل حول الاستغلال الجديد عبر Securelist.

يمكن مشاهدة ندوة ويب مسجلة من كاسبرسكي لاب، للتعرّف أكثر على التقنيات التي اكتشفت هذا الاستغلال وغيره من الهجمات التي تتم من بلا انتظار في النظام “ويندوز”.

التعليقات (٠) اضف تعليق

اضف تعليق

بريدك الالكترونى لن نقوم بأستخدامه. الحقول المطلوبه عليها علامة *

You may use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*