חוקרים פיתחו מתקפה המבוססת על עדכוני האבטחה של Windows
לפי חוקרי סייפבריץ', המתקפה, מסוג ''שנמוך לאחור'', מנצלת פגיעויות שתוקנו בעבר והופכת אותן לכאלה שניתן לנצלן שוב ● שרתי Windows 10 ו-11 מ-2019 ואילך הם בעלי פוטנציאל הפגיעה
חוקרים פיתחו מתקפת סייבר שמשתמשת בעדכוני האבטחה של Windows כדי לנצל פגיעויות שתוקנו בעבר, ולעשותן לפגיעות שוב.
חוקרי סייפבריץ' כתבו באחרונה כי על אף שהם לא יכולים לפרוס את הנוזקה מרחוק, על המשתמשים לשמור על נהלי אבטחה סטנדרטיים, אפילו במערכות הפעלה מעודכנות לחלוטין. מיקרוסופט פרסמה מדריך מפורט למזעור הסיכון למתקפה, כי הבעיה טרם תוקנה במלואה, והענקית מרדמונד פועלת לפיתוח פתרון מקיף יותר.
חוקרי מעבדות סייפבריץ' פרסמו את הקוד לתוכנה, שבפעולתה – המכונה "שנמוך לאחור" – היא מחזירה את המצב של Windows לאחור, כלומר – מבטלת עדכוני אבטחה שכבר הוטמעו, כך שפרצות אבטחה ישנות ייפתחו שוב ויהוו איום אבטחה עדכני.
כלי התקיפה, שאותו כינו החוקרים Downdate, מחזיר את Windows לגרסה מיושנת, ולאחר מכן ההאקרים יכולים להשיג שליטה מלאה על מערכת הקורבן, בשל ניצול פגמים שתוקנו בעבר. Downdate יכול לעקוף אמצעי אבטחה כמו Windows Defender, אבטחה מבוססת וירטואליזציה, VBS, נעילות UEFI ו- Credential Guard. שרתי Windows 10 ו-11 מ-2019 ואילך הם בעלי פוטנציאל הפגיעה.
החוקרים פרסמו את הממצאים שלהם בגיטהאב, כדי לשתף בנושא ולסייע לחוקרים אחרים. לדבריהם, הגרסה הנוכחית יכולה לשמש רק את האדם המפעיל פיזית את המחשב, אבל האקרים עלולים לשלב אותה במטעני נוזקות.
באילו שתי פגיעויות מדובר?
בהדרכה לטיפול באיום, מיקרוסופט ציינה את שתי הפגיעויות: CVE 2024-21302 ו-CVE 2024-38202. הענקית מרדמונד החלה לטפל בבעיה כאשר חוקרי סייפבריץ' פנו אליה, בפברואר השנה. עם זאת, ציינו החוקרים, "התהליך הוא איטי, כיוון ש-Downdate משפיע על היבטים רבים של Windows – והפתרון ידרוש בדיקות מקיפות".
מיקרוסופט ממליצה למשתמשים ולמנהלי מערכת להטמיע תחילה עדכוני אתחול שפורסמו לאחר 13 באוגוסט השנה. "על אף ש-Downdate משפיע על גרסאות מעודכנות מלאות של Windows", כתבו אנשי החברה, "המשתמשים צריכים תמיד להישאר מעודכנים בתיקוני אבטחה ולהתקין את הטלאים עבור הפגיעות. אנחנו גם מציעים למשתמשים להישאר זהירים בעת בדיקת מיילים ולהתקין תוכנה רק ממקורות מהימנים".
תגובות
(0)