الثغرات
اكتشف محرك الكشف السلوكي وتقنيات منع الاستغلال مؤخرًا استغلال ثغرة أمنية في برنامج تشغيل نواة Win32k، مما أدى إلى التحقيق في عملية الجريمة الإلكترونية الكاملة وراء الاستغلال. أبلغنا عن الثغرة الأمنية (CVE-2021-40449) لشركة Microsoft، وقامت الشركة بترقيعه أمنيًا خلال تحديث منتظم صدر في 12 أكتوبر. لذلك، كالعادة بعد يوم الثلاثاء، فإننا نوصي بتحديث مايكروسوفت ويندوز في أقرب وقت ممكن.
ما تم استخدام CVE-2021-40449 من أجله
CVE-2021-40449 هو ملف الضعف بعد الاستخدام في دالة NtGdiResetDC لبرنامج تشغيل Win32k. يتوفر وصف تقني مفصل في موقعنا وظيفة قائمة الأمن، ولكن باختصار، حيث يمكن أن تؤدي الثغرة الأمنية إلى تسرب عناوين وحدة النواة داخل ذاكرة الكمبيوتر. ثم يستخدم مجرمو الإنترنت التسريب لرفع امتيازات عملية ضارة أخرى.
من خلال تصعيد الامتياز، تمكن المهاجمون من تنزيل برنامج MysterySnail وتشغيله ، كما يُتيح الوصول عن بعد إلى فيروس حصان طروادة (RAT) للمهاجمين الوصول إلى نظام الضحية.
ماذا تفعل برمجية MysterySnail
يبدأ فيروس حصان طروادة بجمع معلومات حول النظام المصاب وإرساله إلى خادم القيادة والتحكم. ثم، من خلال برمجية MysterySnail، يمكن للمهاجمين إصدار أوامر مختلفة. على سبيل المثال، يمكنهم إنشاء ملف معين أو قراءته أو حذفه، أو إنشاء عملية أو حذفها، والحصول على قائمة دليل، أو افتح قناة بروكسي وأرسل البيانات من خلالها.
تتضمن ميزات برمجية MysterySnail الأخرى القدرة على عرض قائمة محركات الأقراص المتصلة، ومراقبة اتصال محركات الأقراص الخارجية في الخلفية، والمزيد. يمكن أن يقوم فيروس حصان طروادة أيضًا بتشغيل ملف shell التفاعلي عبر مُنفذ الأوامر cmd.exe (عن طريق نسخ ملف cmd.exe إلى مجلد مؤقت باسم مختلف).
الهجمات من خلال CVE-2021-40449
يغطي استغلال هذه الثغرة الأمنية سلسلة من أنظمة التشغيل في عائلة Microsoft Windows: Vista، 7، 8، 8.1، Server 2008، Server 2008 R2، Server 2012، Server 2012 R2، Windows 10 (الإصدار 14393)، Server 2016 (الإصدار 14393) و 10 (النسخة 17763) و Server 2019 (النسخة 17763). وفقًا لخبرائنا، فإن الاستغلال موجود خصيصًا لتصعيد الامتيازات على إصدارات الخادم من نظام التشغيل.
بعد اكتشاف التهديد، أثبت خبراؤنا أن الاستغلال وبرمجيات MysterySnail الخبيثة التي يتم تحميلها في النظام قد شهدت استخدامًا واسعًا في عمليات التجسس ضد شركات تكنولوجيا المعلومات والمنظمات الدبلوماسية والشركات العاملة في صناعة الدفاع.
بفضل محرك Kaspersky Threat Attribution Engine، تمكن خبراؤنا من العثور على أوجه تشابه في التعليمات البرمجية ووظائف برمجية MysterySnail والبرامج الضارة التي تستخدمها مجموعة IronHusky. علاوة على ذلك، استخدمت مجموعة APT باللغة الصينية بعض عناوين خادم C & C في MysterySnail في عام 2012.
لمزيد من المعلومات حول الهجوم، بما في ذلك وصف مفصل للاستغلال ومؤشرات الاختراق، انظر إلى قائمتنا الأمنية.
كيف تحافظ على سلامتك
ابدأ بتثبيت الرقع الأمنية الأحدث من مايكروسوفت، وتجنب التعرض للثغرات الأمنية المستقبلية من خلال تثبيت حلول أمنية قوية تكتشف بشكل استباقي وتوقف استغلال الثغرات الأمنية على جميع أجهزة الكمبيوتر المزودة بإمكانية الوصول إلى الإنترنت. محرك الكشف السلوكي وتقنيات منع الاستغلال، مثل تلك الموجودة في برنامج Kaspersky Endpoint Security for Business ، تم الكشف عن CVE-2021-40449.
النصائح