بهره‌برداری‌های مبتنی بر EternalSynergy در کمین ویندوز

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

مایکروسافت می‌گوید به‌دلیل بهبودهای انجام‌شده بر روی نسخه‌های ویندوز جدیدتر از ۸ بهره‌برداری‌های مبتنی بر EternalSynergy   نباید بر این نسخه‌ها به‌ درستی عمل کند.

یک محقق امنیتی یک بهره‌برداری مبتنی بر EternalSynergy  را توضیح داده‌ است که می‌تواند نسخه‌های جدیدتر از ویندوز ۸ را تحت تأثیر قرار دهد و آلوده کند. EternalSynergy یکی از بهره‌برداری‌هایی است که توسط گروه نفوذ Shadow Brokers از آژانس امنیت ملی آمریکا به سرقت رفته است. این بهره‌برداری به همراه چند نمونه‌ دیگر در ماه آوریل به‌طور عمومی منتشر شد زمانی‌که مایکروسافت یک ماه قبل، آسیب‌پذیری‌های متناظر با آنها را وصله کرده ‌بود.

یک محقق امنیتی در‌حال‌حاضر، یک بهره‌برداری مبتنی ‌بر EternalSynergy را ایجاد کرد که از بهره‌برداری دیگر EternalRomance نیز استفاده می‌کند. این بهره‌برداری می‌تواند گستره‌ وسیع‌تری از نسخه‌های ویندوز را هدف قرار دهد. این ابزار در‌حال‌حاضر بر روی گیت‌ها و ExploitDB قابل دسترسی است و نسخه‌های بالاتر از ویندوز ۸ و نمونه‌های ۶۴ و ۳۲ بیتی را هدف قرار داده‌است.

بهره‌برداری EternalSynergy از یک آسیب‌پذیری با شناسه‌ CVE-۲۰۱۷-۰۱۴۳ بهره‌برداری می‌کند. این آسیب‌پذیری از آنجا ناشی می‌شود که نوع پیام‌هایی که در حساب کاربری SMB دریافت می‌شود، شناسایی نشده و مشخص نمی‌شود که آیا بخشی از یک تراکنش است یا خیر. به‌عبارت دیگر تا زمانی‌که بخش‌هایی از سرآیند پیام‌های SMB با فیلدهای تراکنش مطابقت داشته‌باشد، پیام جزئی از تراکنش محسوب خواهدشد.

مایکروسافت اعلام کرد که بهره‌برداری EternalSynergy نباید بر روی نسخه‌های ویندوز جدیدتر از ۸ به ‌درستی عمل کند، چرا که در آنها بهبودهای امنیتی در نظر گرفته شده که از فراخوانی‌های غیرمستقیم و نامعتبر جلوگیری می‌کند. انتظار می‌رفت این ابزار فقط بر روی سیستم‌عامل‌هایی فاقد پشتیبانی مایکروسافت کار کند، ولی این محقق ابزار پایداری را توسعه داده که بر روی ویندوز ایکس‌پی و نسخه‌های جدیدتر به‌غیر از ویندوز ۱۰ به‌خوبی کار می‌کند. مایکروسافت در‌حال‌حاضر وصله‌ای را منتشر کرد که کاربران می‌توانند آن را نصب کنند.

بهره‌برداری EternalSynergy یکی از آن آسیب‌پذیری‌هایی است که در چندماه گذشته توجه محققان امنیتی را به خود جلب کرده‌است. این در حالی است که در مورد بهره‌برداری EternalBlue بحث‌های زیادی انجام شده‌ است. این بهره‌برداری در حملات باج‌افزاری مختلف در چندماه اخیر، توسط مهاجمان سایبری مورد استفاده قرار گرفته‌است. ماه قبل هم باج‌افزار نات‌پتیا از این بهره‌برداری به همراه EternalRomance  استفاده می‌کرد تا در سطح شبکه توزیع شود.