נחשפה חולשה שנוצלה על ידי האקרים רוסים

נחשפה חולשה מסוג יום אפס (לא ידועה),  הפוגעת במערכות מבוססות Windows. את החולשה חשפו חוקרי קלירסקיי (ClearSky) הישראלית באוגוסט השנה. הפגיעות דווחה למיקרוסופט (Microsoft) וזו תיקנה אותה לפני ימים אחדים.

הפגיעות מאפשרת לקבצי URL, שמוטמעות בהם שורות קוד ספציפיות – להפעיל סקריפט המתקשר עם שרת התוקף. הוא עושה זאת גם כשהמשתמש לא מפעיל את הסקריפט ישירות. לפי חוקרי קלירסקיי, החולשה תקפה לרוב הגרסאות של Windows.

הקבצים הזדוניים והחולשה הנלווית אותרו על ידי החוקרים בקבצים שהורדו מאתר רשמי של ממשלת אוקראינה. האתר מאפשר להוריד תעודות ובהן הסמכות אקדמיות רשמיות. התוקף שלח לקורבנות מייל מתוך מערכת המייל הממשלתי, ובו הודיע להם כי תוקף התעודה האקדמית שברשותם פג, ולפיכך עליהם לבצע תהליך של חידוש התעודה באמצעות קישור שצורף למייל. לחיצה על הקישור הפעילה שרשרת פעולות שמטרתן הדבקת המחשב בנוזקה.

המחקר שותף עם אנשי CERT-UA, מערך הסייבר האוקראיני. אנשיו חשפו כי קובץ ה-URL מופץ כחלק מקמפיין של קבוצת תקיפה רוסית, UAC-0194. הקבוצה פועלת מול ארגונים ואזרחים באוקראינה.

החוקרים הישראלים שיתפו את המחקר עם MSRC, מרכז תגובת האבטחה של מיקרוסופט. הענקית מרדמונד תיקנה את החולשה במסגרת "Patch Tuesday", שהתפרסם לפני כמה ימים. מיקרוסופט בנתה עדכון אבטחה עבור מערכות Windows כדי לתקן את הפגיעות והעניקה לו את הכינוי המזהה CVE-2024-43451.

לפי חוקרי ענקית האבטחה הרוסית קספרסקי, "מדובר בפגיעות מדאיגה במיוחד. ההנחה הכללית היא, שאם משתמש לא פותח קובץ זדוני – אף דבר רע לא יכול לקרות. במקרה הזה, זה לא נכון. ניצול הפגיעות מאפשר לתוקף לגנוב hash NTLMv2 עם אינטראקציה מינימלית מהקורבן. למרות שאין לו דירוג חומרה 'מרשים', והוא קיים הודות למנוע MSHTML – מורשת מעידן Internet Explorer, אשר תיאורטית הוא דפדפן מושבת ואינו בשימוש עוד – כל הגרסאות הנוכחיות של Windows מושפעות מפגיעות זו. הפגיעות מסוכנת כל כך, כי היא מאפשרת לתוקף ליצור קובץ, שברגע שהוא נמסר למחשב של הקורבן, הוא מעניק לתוקף אפשרות לגנוב את ה-hash NTLMv2 – פרוטוקול אימות רשת הפועל בסביבת Windows. לאחר גישה ל-hash NTLMv2, התוקף יכול לנסות לבצע אימות ברשת על ידי התחזות למשתמש לגיטימי – מבלי לקבל את האישורים האמיתיים שלו, מה שהופך את חיי התוקף להרבה יותר קלים".