مایکروسافت یک آسیبپذیری روز صفر را اصلاح کرده است که تمامی نسخههای پشتیبانیشده ویندوز را تحت تأثیر قرار میدهد و به گفته محققان، هکرها از آن برای راهاندازی حملات باجافزاری سوءاستفاده کردهاند.
مایکروسافت در یک هشدار امنیتی در روز سهشنبه اعلام کرد که مهاجمی که با موفقیت از آسیبپذیری موجود در سیستم فایل گزارش مشترک ویندوز (CLFS) سوء استفاده کند، میتواند به یک سیستم اصلاح نشده دسترسی کامل پیدا کند. مایکروسافت تأیید کرد که مهاجمان به طور فعال از این آسیبپذیری سوء استفاده میکنند.
شرکت امنیت سایبری روسی Kaspersky میگوید این نقص برای استقرار باجافزار Nokoyawa استفاده شده است که عمدتاً سرورهای ویندوز متعلق به مشاغل کوچک و متوسط مستقر در خاورمیانه، آمریکای شمالی و آسیا را هدف قرار میدهد.
کسپرسکی در تحلیل خود از این آسیبپذیری میگوید که روز صفر برجسته است زیرا به طور فعال توسط مجرمان سایبری با انگیزه مالی مورد سوء استفاده قرار میگیرد.
بوریس لارین، محقق ارشد امنیت در کسپرسکی، گفت: «گروههای جرایم سایبری با استفاده از سوء استفادههای روز صفر در حملات خود به طور فزایندهای پیچیدهتر میشوند. پیش از این، آنها در درجه اول ابزاری برای بازیگران APT بودند، اما اکنون مجرمان سایبری منابع لازم برای به دست آوردن روزهای صفر و استفاده معمول از آنها در حملات را دارند.
Nokoyawa برای اولین بار در فوریه 2022 مشاهده شد و گمان می رود که به باج افزار باج افزار Hive که اکنون منحل شده است، متصل است، که مجری قانون در ژانویه نفوذ کرده و آن را تعطیل کرد. Trend Micro در آن زمان در تحلیلی گفت: «این دو خانواده شباهت های قابل توجهی در زنجیره حمله خود دارند، از ابزارهای مورد استفاده گرفته تا ترتیب اجرای مراحل مختلف».
بدافزار Nokoyawa فایلها را در سیستمهایی که به خطر میاندازد رمزگذاری میکند، اما اپراتورها همچنین ادعا میکنند اطلاعات ارزشمندی را سرقت میکنند که تهدید به افشای آنها میکنند مگر اینکه باج پرداخت شود.
آژانس امنیت سایبری ایالات متحده CISA آسیبپذیری ویندوز را که به تازگی اصلاح شده را به فهرست آسیبپذیریهای مورد سوء استفاده شناخته شده خود اضافه کرد و از آژانسهای فدرال خواست تا سیستمها را قبل از ۲ می بهروزرسانی کنند.
مایکروسافت تقریباً 100 نقص را به عنوان بخشی از بهروزرسانی برنامهریزی منظم Patch Tuesday خود برطرف کرد. این غول فناوری همچنین یک نقص اجرای کد از راه دور را برطرف کرد که میتوانست به یک مهاجم از راه دور و احراز هویت نشده اجازه دهد تا کد خود را با امتیازات بالا روی سرورهای آسیبدیده با فعال بودن سرویس صف پیام مایکروسافت اجرا کند.