اصلاحیه‌ها و آسیب‌پذیری‌ها

روز صفر خطرناک CVE-2024-43451 تحت اکسپلویت فعال

security

 آسیب‌پذیری روز صفر جدید با شناسه CVE-2024-43451 و امتیاز 6.5، که در ژوئن 2024 توسط ClearSky Cyber ​​Security کشف شد، به طور عمومی فاش و اکسپلویت شده است.

آسیب‌پذیری افشای اطلاعات NTLM Hash که بر دستگاه‌های تحت سیستم عامل ویندوز تأثیر می‌گذارد و امکان سرقت هش NTLMv2 کاربر را با کمترین تعامل قربانی فراهم می‌کند، هم اکنون به طور فعال توسط عامل تهدید روسی در حملات علیه نهادهای اوکراینی تحت اکسپلویت قرار گرفته است.

چرا CVE-2024-43451 خطرناک است؟

این نقص امنیتی اجازه ایجاد فایلی را به نفوذگر می‌دهد که پس از اجرا بر روی  رایانه قربانی، امکان سرقت هش NTLMv2 را برای او فراهم می‌سازد. NTLMv2 یک پروتکل احراز هویت شبکه است که در محیط‌های مایکروسافت ویندوز استفاده می‌شود.

با دسترسی به هش NTLMv2، نفوذگر می‌تواند حمله هش را انجام دهد و با ظاهر شدن به عنوان کاربری قانونی در شبکه – بدون داشتن اعتبار واقعی، برای احراز هویت تلاش کند. البته اگرچه CVE-2024-43451 به تنهایی برای حمله‌ای تمام عیار کافی نیست (مجرمان سایبری باید از آسیب‌پذیری‌های دیگر استفاده کنند) اما هش NTLMv2 کار نفوذگر را تسهیل می‌کند.

«تعامل حداقلی» به چه معناست؟

نقص امنیتی مذکور فایل‌های URL حاوی کدهای مخرب را با کمترین تعامل کاربر با یک فایل مخرب و از طریق اقدامات ظاهرا بی‌خطر از جمله موارد زیر فعال می‌سازد:

  • کلیک راست روی (همه نسخه‌های ویندوز)
  • انتخاب فایل (یک کلیک) یا حذف فایل (ویندوز 10/11)
  • کشیدن فایل به پوشه دیگری (ویندوز 10/11 و برخی از تنظیمات ویندوز 7/8/8.1)

به طور کلی فرض بر این است که اگر کاربر، فایل مخرب را باز نکند هیچ خطری او را تهدید نمی‌کند! اما این امر در مورد فعلی صدق نمی‌کند. بنابراین اکسپلویت ممکن است حتی هنگامی که کاربر فایل را انتخاب می‌کند (با یک کلیک) یا آن را بررسی می‌کند (با کلیک راست) و یا “اقدامی غیر از باز کردن یا اجرا” را انجام می‌دهد، صورت پذیرد.

فرآیند اکسپلویت

در نمونه‌های مشاهده شده توسط clearskysec، حمله با یک ایمیل فیشینگ ارسال شده از سرور دولتی اوکراینی در معرض خطر آغاز می‌شود که تقاضای تمدید گواهی تحصیلی از گیرنده دارد. پیوست ایمیل حاوی فایل URL مخربی است که هنگام کلیک راست کاربر، حذف یا جابه‌جایی فایل URL، آسیب‌پذیری فعال می‌شود.

این اقدام منجر به برقراری ارتباط با سرور مهاجم و دانلود فایل‌های مخرب دیگری از جمله بدافزار SparkRAT می‌شود. تروجان دسترسی از راه دور منبع باز SparkRAT به نفوذگر اجازه می‌دهد تا کنترل سیستم قربانی را به دست آورد. CERT-UA این کمپین را به عامل تهدید روسی موسوم به UAC-0194 مرتبط دانست.

وصله آسیب‌پذیری

مایکروسافت به تازگی با انتشار اصلاحیه‌های امنیتی نوامبر 2024، این آسیب‌پذیری را برطرف کرد. به منظور کاهش خطر ناشی از این نقص، به تمامی کاربران اکیداً توصیه می‌شود که سیستم‌های ویندوز خود را به‌روزرسانی کنند.

مطالب مرتبط

microsoft patch tuesday

اصلاحیه‌های امنیتی مایکروسافت – نوامبر 2024

Microsoft Patch Tuesday

اصلاحیه‌های امنیتی مایکروسافت – اکتبر 2024

Microsoft

اصلاحیه‌های امنیتی مایکروسافت – سپتامبر 2024