اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

جدیدترین آسیب‌پذیری Zero-Day ویندوز

جدیدترین آسیب‌پذیری Zero-Day ویندوز

آسیب‌پذیری جدیدی که اخیرا در ویندوز مشاهده شده است به هکرها اجازه تغییر در فایل pci.sys را داده و از آن برای اِعمال یک حمله‌ی DoS بر روی آن دستگاه استفاده می‌نماید. این چهارمین آسیب‌پذیری ZeroDay کشف‌شده‌ی ویندوز در پنج ماه گذشته است. مهاجمان می‌توانند با استفاده از این آسیب‌پذیری فایل موردنظر را با داده‌های مختلف جایگزین کنند.

Exploit Code این آسیب‌پذیری توسط محقق امنیتی که با نام SandboxEscaper فعالیت می‌کند، در GitHub منتشر شده است. با اجرای Proof-of-Concept یا به اختصار PoC، این محقق موفق شده بود با جمع‌آوری مشکلات نرم‌افزاری و سخت‌افزاری از طریق زیرساخت بازخورد مبتنی بر رویداد Windows Error Reporting یا WER، فایل pci.sys را جایگزین کند. Pci.sys در واقع یک جزء سیستمی است که در بوت‌شدن صحیح ویندوز کمک می‌کند.

Exploit Code منتشر شده بر روی GitHub با تعدادی محدودیت کار می‌کند. به گفته‌ی محقق مربوطه، آسیب‌پذیری Zero-Day کشف‌شده CPU را تحت‌ تأثیر قرار نمی‌دهد و مدتی طول می‌کشد تا اثری روی سیستم‌های هدف ایجاد نماید. SandboxEscaper اذعان داشت که این Bug به یک اختلال و دیگر عملیات‌های مورنیاز برای اِعمال یک حمله بستگی دارد که باعث یک Delay می‌شود.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

تأثیر منفی این آسیب‌پذیری توسط ویل دورمن، یک تحلیل‌گر آسیب‌پذیری در CERT/CC تأیید شد. وی توانست این Bug را بر روی یک سیستم Windows 10 – Build 17134 مشاهده کند.

SandboxScraper خاطر نشان کرد از آن‌جایی که هدف اینگونه حمله فایل pci.sys است، می‌توان از این آسیب‌پذیری برای اِعمال یک حمله‌ی DoS بر روی یک دستگاه استفاده نمود. علاوه بر آن می‌توان جهت غیرفعال‌سازی نرم‌افزارهای Anti-Virus که Third-Party می‌باشند نیز استفاده شود.

SandboxEscaper جزئیات این باگ جدید را به Microsoft Security Response Center اطلاع‌رسانی کرده است. این دومین باگی است که توسط این محقق امنیتی در ماه دسامبر 2018 کشف شده است. در تاریخ نوزدهم دسامبر سال 2018، SandboxEscaper یک PoC مربوط به آسیب‌پذیری Zero-Dayی را منتشر نمود که به هکرها اجازه خواندن فایل‌های محافظت‌شده را می‌داد.