تمكن باحثو كاسبرسكي في أوائل العام 2021، وبعد إجراء تحليلات وافية على ثغرة CVE-2021-1732 المُبلغ عنها، والمستخدمة من قبل عصابة BITTER APT التخريبية، من اكتشاف ثغرة برمجية أخرى من الثغرات التي يمكن أن تُستغلّ في شنّ هجمات “يوم الصفر” أو ما يُعرف بهجمات “بلا انتظار”. لكن الخبراء الأمنيين لم يتمكنوا حاليًا من ربط استغلال هذه الثغرة بأية جهة معروفة من جهات التهديد الأمني الرقمي.
وتُعدّ ثغرات “يوم الصفر” في الأساس أخطاء برمجية غير معروفة توجد في نظام تشغيل أو تطبيق ما. ويمكن لمجرمي الإنترنت عند اكتشافهم لأحد هذه الأخطاء استغلالها سرًّا لممارسة أنشطة تخريبية، ما قد يؤدي إلى إصابة الضحية المستهدفة بعواقب مدمرة.
ووجد خبراء كاسبرسكي أثناء تحليلهم للثغرة CVE-2021-1732 في فبراير الماضي، ثغرة أخرى سارعوا إلى إبلاغ مايكروسوفت عنها. وبعد التحقق من كونها ثغرة يمكن استغلالها في شن هجمات يوم الصفر، منحت الثغرة الرقم المرجعي CVE-2021-28310.
ووفقًا للباحثين، فإنه يجري فعلًا استغلال هذه الثغرة من عدد من جهات التهديد. وتُسمّى هذه الثغرة استغلال “تصعيد الامتياز” (EoP)، وهي موجودة في أداة Desktop Window Manager في النظام ويندوز، ما يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية على الجهاز الضحية.
ومن المرجّح استغلال هذه الثغرة مع ثغرات أخرى في متصفحات الويب للهروب من وضع الحماية المتمثل ببيئة الفحص الأمني Sandbox، أو الحصول على مزيد من امتيازات الوصول إلى النظام.
ولم يكشف تحقيق كاسبرسكي الأولي عن السلسلة الكاملة من الإصابات، لذلك لم يُعرف حتى الآن ما إذا كان يجري استغلال الثغرة مع ثغرات أخرى أو بجانب ثغرات أمنية معروفة ومصحَّحة.
وقال بوريس لارين خبير الأمن لدى كاسبرسكي إن الثغرة حُدّدت في البداية من خلال تقنية كاسبرسكي المتقدمة الخاصة بمنع استغلال الثغرات وسجلات الكشف ذات الصلة، وأضاف: “نجحنا على مدى السنوات القليلة الماضية في بناء العديد من تقنيات الحماية من الاستغلال وتضمينها في منتجاتنا التي اكتشفت عدة ثغرات تُستغل في شن هجمات يوم الصفر، ما يثبت فعاليتها مرارًا وتكرارًا. وسنواصل تعزيز الدفاعات الأمنية لمستخدمينا من خلال التحسين المستمر لتقنياتنا والعمل مع المنتجين والمطورين لتصحيح الثغرات الأمنية، وجعل الإنترنت أكثر أمنًا للجميع”.
ويمكن لعملاء خدمة Kaspersky Intelligence Reporting الحصول على معلومات أوفى عن BITTER APT ومؤشرات حدوث الاختراق الأمني، بالتواصل عبر: intelreports@kaspersky.com.
هذا، وأُصدر تصحيح لثغرة استغلال تصعيد الامتياز CVE-2021-28310 يوم 13 إبريل 2021.
وتكتشف منتجات كاسبرسكي هذه الثغرة بالتعريفات التالية:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية، للبقاء في مأمن من هذا التهديد:
- تثبيت تصحيحات للثغرة الأمنية الجديدة في أسرع وقت ممكن، كي تصبح جهات التهديد عاجزة عن استغلالها.
- يمكن لقدرات إدارة الثغرات الأمنية والتصحيحات المتاحة في حلول حماية النقاط الطرفية أن تبسّط المهمة كثيرًا لمديري أمن تقنية المعلومات.
- تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات. وتُعد بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة وشاملة لهذه المعلومات، تتيح بيانات وأفكارًا ورؤىً حول الهجمات الرقمية جمعتها كاسبرسكي طوال أكثر من 20 عامًا.
- بالإضافة إلى اعتماد الحماية الأساسية للنقاط الطرفية، يوصى بتنفيذ حل أمني على المستوى المؤسسي يكون قادرًا على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، وذلك مثل الحلّ Kaspersky Anti Targeted Attack Platform.