בכל יום שלישי מאז אוקטובר 2003, חברת מיקרוסופט מוציאה תיקוני אבטחה (Security Patch) עבור מוצרי התוכנה שלה, וכשלמדובר בדבר טריוויאלי למדי, לאחרונה יצא עדכון מהותי וחשוב המתקן שני ZeroDays.

החולשה הראשונה הממוספרת כ CVE-2018-8174 (CVE – רשימה של זיהוי, תיאור והתייחסות עבור פגיעויות הידועות לציבור), החולשה פורסמה על ידי חברת אבטחת המידע הסינית “Qihoo 360″, מנצלת את הדרך שבה VBScript מטפל באובייקטים בזיכרון, ובכך מאפשרת לתוקף להריץ קוד מרחוק (Remote Code Execution) ולהשתלט על עמדת הקורבן, התוקף יקבל את ההרשאות של הקורבן כך אם הקורבן משתמש בהרשאות ניהוליות במערכת ההפעלה, התוקף יקבל את אותן ההרשאות, כך שהתוקף יכול להריץ קטעי קוד משלו, למחוק או לייצר נתונים וליצור לעצמו דלת אחורית באמצעות יצירה של משתמש חדש במערכת ההפעלה, (Backdoor).
התרחיש בו ממומשת הפגיעות היא כאשר הקורבן נכנס לאתר המממש את הפגיעות באמצעות Internet Explorer, או קובץ מסמך של Microsoft Office אשר בתוכו תהיה ActiveX הכולל בתוכו את מנוע העיבוד של Internet Explorer.

מיקרוסופט פרסמה תיקוני אבטחה קריטיים

רמת החומרה של החולשה הינה קריטית, כאשר יותר מ-30 גרסאות של ווינדוס נמצאות בסיכון, לדוגמה, חלק ממערכות ההפעלה החולשה הן:
” ווינדוס 7 64 סיביות SP1.
” ווינדוס 8/8.1 32 ו64 סיביות.
” ווינדוס 10 32 ו64 סיביות.
” ווינדוס סרבר 2012.
” ווינדוס סרבר 2012 R2.

מרבית ממנועי האנטי וירוס המוכרים כבר הספיקו לזהות את ניצול החולשה בצורה סטטית ואת ההתנהגות בצורה דינאמית ובכך לחתום את הקובץ המנצל את החולשה.

 

:IOC (indicator of compromise)
” autosoundcheckers. com
” 15eafc24416cbf4cfe323e9c271e71e7
” b48ddad351dd16e4b24f3909c53c8901
” 1ce4a38b6ea440a6734f7c049f5c47e2

החולשה השנייה ממוספרת כ CVE-2018-8120 והיא מנוצלת כאשר win32k אינו מצליח לטפל כראוי באובייקטים בזיכרון.
win32k הינו מצב הליבה של מערכת המשנה של ווינדוס (windows subsystem).
החולשה מאפשרת לתוקף להריץ קוד ב Kernel Mode בצורה מקומית ובכך להסלים את הרשאותיו על מערכת ההפעלה (Privilege Escalation).
” Privilege Escalation – ניצול פגיעות בתוכנה או במערכת ההפעלה על מנת להפוך למשתמש חזק וזאת בכדי לקבל גישה למקומות מוגנים.
על מנת לתת מענה אבטחה ברמת מערכת ההפעלה, ישנו מנגנון שנקרא “Protection Ring”, המנגנון אחראי לכך שקטעי קוד מסוימים לא יוכלו להגיע למקומות מסוימים במערכת ההפעלה ולשם כך “מפצל” את מערכת ההפעלה ל4 טבעות:
” Ring3 – User Mode.
” Ring2 + Ring1 – Device Drivers.
” Ring0 – Kernel Mode.
הרצת קוד ב Kernel Mode היא דבר בעל סיכון חמור, וזאת מכיוון שלקוד שרץ ב Kernel Mode יש גישה מלאה לכל מיקום בזיכרון.
בנוסף, בשנים האחרונות ראינו מספר של CVEs אשר מנצלים את win32k על מנת לבצע Privilege Escalation, לדוגמה:
” CVE-2014-4113
” CVE-2016-7255
” CVE-2008-1084
ישנם כ 10 גרסאות של ווינדוס אשר נמצאות בסיכון, חלק מהגרסאות הן:
” ווינדוס 7 32 ו64 סיביות SP1.
” ווינדוס סרבר 2008 32 ו64 סיביות SP2.

לסיכום, תמיד חשוב לעדכן את כל המוצרים בהם אנו משתמשים (מרמת מערכת ההפעלה, אפליקציות מובייל ודסקטופ, אנטי וירוס ועוד), שכן בכל יום נוספים עשרות של חולשות אשר אולי יום אחד יפגע גם בנו.
אך חשוב לזכור, אנטי וירוס הוא מעגל הגנה ראשון ומגן רק על איומים ידועים ולא מפני חולשות או התקפות חדשות, לכן לא ניתן להסתמך אך ורק עליו.
על מנת להתקין עדכונים, יש לבצע את הפעולות הבאות:
Settings → Update & security → Check for updates
בהצלחה!

לקריאה נוספת:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8174
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120

 

לעוד מידע על אבטחת סייבר ועל לימוד סייבר באינטרנט התקשרו כעת או השאירו הודעתכם ונחזור אליכם.

מעוניין ללמוד קורס סייבר ואבטחת מידע בקרנליוס? לחץ כאן