נחשפו מתקפות Zero-day במערכות ההפעלה Windows
מאת:
מערכת Telecom News, 11.7.19, 18:07
פגיעות מקומית במערכת ההפעלה מנוצלת כדי להתפרס ולתקוף משתמשים. מה מומלץ לארגונים לעשות?
חוקרים של
ESET גילו וחקרו מתקפת
zero-day המתמקדת כרגע במטרות במזרח אירופה. הניצול משתמש בפגיעות מקומית במערכת ההפעלה
Windows. החברה דיווחה על הבעיה למרכז האבטחה של
Microsoft, שתיקנה את הפגיעות ושיחררה תיקון.
ניצול הפגיעות, שקיבלה את המזהה
CVE-2019-1132, מתאפשר בגרסאות מסוימות של
Windows מכיוון שגרסאות מתקדמות יותר לא מאפשרות למפות דף
NULL הנדרש לטובת הצלחה של ההתקפה.
כמו בפגיעויות, שהתגלו בעבר ב-
win32k.sys, הפרצה משתמשת באובייקטים של תפריטי
popup כדי להתפרס. למשל, הפגיעות, שמאפשרת העלאת הרשאות מקומית בה השתמשה קבוצת התקיפה
Fancy Bear ב-2017, עשתה שימוש באלמנטים וטכניקות של התפרסות כדי לפגוע ולנצל פגיעויות ככל הניתן, באופן דומה למתקפה זו כפי ש-
ESET ניתחה בעבר.
הפגיעות ניתנת לניצול תחת במערכות ההפעלה הבאות:
Windows 7 for 32-bit Systems Service Pack 1, Windows 7 for x64-based Systems Service Pack 1 , Windows Server 2008 for 32-bit Systems Service Pack 2, Windows Server 2008 for Itanium-Based Systems Service Pack 2, Windows Server 2008 for x64-based Systems Service Pack 2 , Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1, Windows Server 2008 R2 for x64-based Systems Service Pack 1
לפי סקרים עדכניים, קרוב ל 40% ממשתמשי חלונות בעולם עדיין משתמשים ב
Windows 7-, ומומלץ, שיעדכנו את המערכת מכיוון שהתמיכה במערכת ההפעלה אמורה להסתיים בינואר 2020. כלומר, לא יוכלו לקבל עדכוני אבטחה חשובים לאחר מכן.
אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע
ESET בישראל:
“ניתן לומר בוודאות, שתתגלנה בעתיד פרצות דומות, שעושות שימוש במנגנון היצירה של אובייקטים עבור תפריטים, כמו גם פרצות נוספות, שלא יצאו עבורן עדכוני אבטחה.
לכן מומלץ להיערך ולעדכן את מערכות ההפעלה בארגונים עם תחנות בגרסאות של
Windows 7 ובשרתים עם כל הגרסאות של
Server 2008/R2 גם בארגונים בהם היא נדרשת עבור תאימות לתוכנות או שירותים קיימים. גם חלק ממערכות
Windows 7 embedded יפסיקו לקבל עדכונים בינואר 2020 וחשוב להיערך בהתאם
”.
בנוסף, ראו הכתבה של מערך הסייבר הלאומי: עדכון האבטחה החודשי של מיקרוסופט - יולי 19:
ב-9 לחודש
פרסמה מיקרוסופט כ-77 עדכוני אבטחה לפגיעויות בתוכנות נתמכות, 16 מסווגות כקריטיות. ידוע על 2 פגיעויות (
CVE-2019-1132 ו-
CVE-2019-0880)
המנוצלות בפועל לתקיפות. פגיעויות אלו מאפשרות העלאת הרשאות מקומית. הפגיעות הראשונה (
CVE-2019-1132) עלולה לאפשר לתוקף מקומי העלאת הרשאות והרצת קוד ברמת ה-
Kernel. 6 פגיעויות היו מוכרות לפני פרסום הדו"ח, אך לא ידוע על ניצול שלהן בפועל לביצוע תקיפות. הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (
RCE).