كاسبرسكي لاب تكشف ثغرة جديدة في ويندوز
كشفت تقنية كاسبرسكي لاب للمنع التلقائي من الاستغلال Kaspersky Lab Automatic Exploit Prevention، والمتضمنة في معظم منتجات الشركة، عن سلسلة جديدة من الهجمات الإلكترونية الموجهة استهدفت مستخدمين في منطقة الشرق الأوسط، وشنت الهجمات من خلال استغلال ثغرة أمنية جديدة لم تكن معروفة من قبل في نظام التشغيل الشهير ويندوز من مايكروسوفت، وهي الثانية التي يتم الكشف عنها خلال شهر، وقد أغلقت مايكروسوفت الثغرة الأمنية في 13 نوفمبر/تشرين الثاني الجاري بعد أن سارع خبراء كاسبرسكي لاب لإبلاغ الشركة عنها.
وتعد الهجمات التي تشن من خلال الثغرات الأمنية المجهولة، والتي تعرف باسم “هجمات بلا انتظار” Zero-Day أحد أخطر أشكال الهجمات الإلكترونية نظراً إلى أنها تنطوي على استغلال ثغرة لم يتم اكتشافها أو إصلاحها بعد، كما أن خطورتها تكمن في رغبة مجرمي الإنترنت المسارعة إلى استغلالها في شن هجمات قبل أن يتم إغلاقها، حيث يمكن للمجرمين، في حال العثور على مثل هذه الثغرة في نظام ما، إنشاء برمجية استغلال خبيثة تتيح الوصول إلى كامل النظام.
ويستخدم سيناريو “التهديد الخفي” هذا على نطاق واسع من جهات تخريبية متطورة لشن هجمات متقدمة مستمرة، وقادت التحليلات التي أجرتها كاسبرسكي لاب لدراسة عملية الاستغلال الجديدة الخبراء إلى ثغرة لم تكن معروفة من قبل.
وتم تنفيذ عملية الاستغلال من قبل المرحلة الأولى من أداة لتثبيت البرمجيات الخبيثة من أجل الحصول على امتيازات ضرورية للاستمرار في الوجود ضمن نظام الضحية، وذلك بالرغم من أن طريقة إيصال البرمجية التخريبية ما زالت غير معروفة حتى الآن، ويسمح هذا الاستغلال باستهداف إصدار 32 بت من نظام ويندوز 7 فقط.
ووفقاً لخبراء كاسبرسكي لاب، فإن الجهة الكامنة وراء الهجمات لم تتضح هويتها بعد، لكن الاستغلال الذي تم تطويره يستخدم من قبل واحد أو أكثر من الجهات المسؤولة عن التهديدات المتقدمة المستمرة.
وكانت كاسبرسكي لاب قد رصدت قبل أسابيع قليلة فقط عملية استغلال أخرى لثغرة استخدمت في شن هجمات Zero-Day استهدفت نظام ويندوز، وتم إيصالها عبر منفذ PowerShell خلفي، وحددت تقنية كاسبرسكي لاب التهديد بطريقة استباقية وتم إبلاغ مايكروسوفت عنه عند اكتشافه.
وقال أنتون إيڤانوڤ الخبير الأمني لدى كاسبرسكي لاب، إن خريف 2018 أصبح “موسماً ساخناً لاستغلال الثغرات في شن هجمات Zero-Day”، مشيراً إلى أنه في غضون شهر واحد فقط “اكتشفنا سلسلتين من الهجمات في منطقة واحدة”.
وأضاف: “تذكرنا التفاصيل المتعلقة بالنشاط التهديدي الذي تمارسه الجهات التخريبية بأهمية حيازة الشركات لجميع الأدوات والحلول الضرورية التي تكفل لها مستوى عالياً من الحماية من التهديدات المتطورة. وبخلاف ذلك، يمكن أن تصبح الشركات عرضة لهجمات موجهة معقدة قد تشن عليها من أي مكان”.
وتوصي كاسبرسكي لاب بتنفيذ الإجراءات التقنية التالية لتجنب الهجمات بلا انتظار:
- تجنب بقدر الإمكان استخدام برمجيات مشهورة بضعفها الأمني أو استخدمت حديثاً في شن هجمات إلكترونية.
- التأكد من تحديث البرمجيات المستخدمة في الشركات بانتظام، حيث تساعد منتجات الأمن ذات الإمكانيات الخاصة بتقييم الضعف وإدارة التصحيح على أتمتة هذه الإجراءات.
- استخدام حل أمني قوي مثل Kaspersky Endpoint Security for Business الذي تم تجهيزه بقدرات الكشف المستندة على السلوكيات من أجل الحماية الفعالة من التهديدات المعروفة والمجهولة بما في ذلك عمليات الاستغلال.
- استخدام أدوات أمنية متقدمة مثل Kaspersky Anti Targeted Attack Platform في حال أصبحت الشركة عرضة لهجمات موجهة.
- إتاحة وصول فريق الأمن في الشركة إلى مصدر موثوق لأحدث المعلومات المتعلقة بالتهديدات الإلكترونية.