امکان دستیابی به دسترسی ادمین از طریق اکسپلویت‌های عمومی جدید برای آسیب‌پذیری ویندوز

دسته بندی ها : اخبار ۱۳ بهمن ۱۴۰۰ آپا دانشگاه تبریز 160 بازدید
ویندوز

یک محقق امنیتی برای آسیب پذیری محلی ویندوز که امکان افزایش سطح دسترسی را فراهم می­کند، یک اکسپلویت  جدید ارائه کرده است. از طریق این اکسپلویت هر کاربری می تواند در ویندوز ۱۰ به دسترسی ادمین برسد.

با دسترسی محدود به یک دستگاه در معرض خطر، می‌توان به راحتی از این آسیب پذیری بهره برداری کرده و امتیاز خود را برای کمک به گسترش جانبی خود در شبکه افزایش داد. در نهایت می‌توان کاربر ادمین جدیدی ایجاد کرده و دستورات ادمین را اجرا نمود.

این آسیب‌پذیری همه نسخه‌های قابل پشتیبانی ویندوز ۱۰ را تا قبل از آپدیت‌های وصله سه شنبه در ژانویه ۲۰۲۲ تحت تاثیر قرار می‌دهد.

دور زدن آسیب پذیری وصله شده توسط محقق

در وصله روز سه شنبه ژانویه ۲۰۲۲، مایکروسافت یک آسیب پذیری از نوع “آسیب پذیری افزایش سطح دسترسی Win32k” را رفع کرد که با عنوان CVE-2022-21882 شناخته می‌شود. این باگ، آسیب پذیری وصله شده‌ی سابق CVE-2021-1732 را دور زده است.

مایکروسافت افشای این آسیب پذیری را به RyeLv نسبت می‌دهد. او یک تحلیل فنی از آسیب پذیری پس از اعمال وصله به اشتراک گذاشته بود.

این هفته، چندین بهره برداری به صورت عمومی برای CVE-2022-21882 منتشر کرده است که به هرکس اجازه دسترسی به سطح دسترسی SYSTEM را بر روی دستگاه های ویندوز ۱۰ آسیب‌پذیر می­دهد.

پس از انتشار اکسپلویت‌ها ، Will Dormann که یک تحلیل گر آسیب پذیری CERT/CC و آزمایش کننده اکسپلویت در توئیتر، تائید کرد که این اکسپلویت کار می­کند و دسترسی‌های بالایی را فراهم می­سازد.

موسسه BleepingComputer نیز آسیب‌پذیری را آزمایش کرد و مشکلی در کامپایل آن وجود نداشت. سپس از آن برای باز کردن برنامه Notepad را با امتیاز SYSTEM ویندوز ۱۰ استفاده کرد که در تصویر زیر نشان داده شده است. این شرکت نتوانست این اکسپلویت را بر روی ویندوز ۱۱ اعمال کند.

باز شدن Notpad با امتیاز سیستم از طریق بهره برداری اسیب پذیری ادمین

اگرچه در اینجا برنامه Notepad باز شده است ولی فرد سوءاستفاده کننده می­تواند از آن برای اضافه کردن کاربران جدید با امتیاز ادمین و یا اجرای سایر دستورات ادمین استفاده کند.

به دلیل دلیل وجود تعداد قابل توجهی از باگ های حساس که در آپدیت ژانویه ۲۰۲۲ وجود داشت، بسیاری از مدیران سیستم، آپدیت ژانویه ۲۰۲۲ را نصب نکردند. این باگ‌ها شامل راه اندازی مجدد، مشکلات L2TP VPN ، فایل‌های سیستمی ReFS غیر قابل دسترس و مسائل مربوط به نصب آپدیت‌ها بر روی Hyper-V می‌باشند.

این مسئله به این معنی است که دستگاه‌های آن ها در برابر اکسپلویتی که در گذشته توسط گروه‌‌های تهاجمی APT  برای تهاجم سایبری مورد استفاده قرار گرفته بود، آسیب پذیر باقی خواهند ماند.

پس از انتشار این اکسپلویت‌ها با عنوان “به روزرسانی‌های OOB منتشر شده ی مایکروسافت” که مشکلات آپدیت‌های ژانویه ۲۰۲۲ را برطرف می‌کند، به طور جدی پیشنهاد شده است که میران سیستم این آپدیت‌ها را نصب کنند و تا زمان انتشار آپدیت‌های هشتم فوریه منتظر نمانند.

باگ هایی که دو سال پیش کشف شدند

این آسیب پذیری مشابه، دو سال پیش توسط محقق امنیتی اسرائیلی و Gil Dabah مدیر شرکت Piiano کشف شده بود. آن ها تصمیم داشتند این باگ را به دلیل کاهش مبلغ باگ بانتی از سوی شرکت مایکروسافت، به تعویق بیندازند.

Dabah در اعتراض به مسئله کاهش جایزه‌های باگ بانتی از مایکروسافت تنها نبود.

در ماه نوامبر نیز، محقق امنیتی دیگری با نام Abdelhamid Nacer یک اکسپلویت از آسیب‌پذیری روز صفرم برای افزایش سطح دسترسی را بدلیل کاهش دریافتی برنامه باگ بانتی از مایکرسافت، به صورت عمومی منتشر کرد.

Naceri در آن زمان بیان کرد: «پرداختی‌های مایکروسافت از آوریل ۲۰۲۰ واقعا بی ارزش شده است. من واقعا اگر MSFT تصمیم به کاهش بانتی‌ها نداشت، این کار را انجام نمی­دادم. »

RyeLv در تحلیل فنی خود که برای آسیب پذیری CVE-2022-21882 منتشر کرده، نوشته است که بهترین راه برای کاهش این سطح از باگ این است که بانتی‌های مربوط به هسته ویندوز مایکروسافت را بهبود دهیم.

RyeLv توصیه کرد: « بانتی‌های پرداختی هسته روز صفرم را بهبود دهید تا محققین امنیتی بیشتری در برنامه شکار آسیب پذیری مشارکت کنند. »

 

اخبار آسیب‌پذیری‌های ایران و جهان را از وبسایت آپا دانشگاه تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :