آسیب‌پذیری حیاتی دیگر مانند EternalBlue ماشین‌های ویندوز را در سراسر جهان تهدید می‌کند


چه اتفاقی افتاده؟ یک آسیب‌پذیری جدید و قوی تمام آنچه را که برای برعکس کردن امنیت ویندوز در میلیون‌ها رایانه لازم است، دارد. این نقص هنوز نام رسمی ندارد و در حال حاضر راه حلی برای آن وجود دارد، اما محققان به شرکت‌ها هشدار می‌دهند که جدیدترین وصله‌ها را نصب کنند یا با عواقب آن مواجه شوند.

دنیای امنیت هنوز به یاد دارد (و از هراس است) هرج و مرج ایجاد شده توسط EternalBlue در سال 2017، زمانی که آسیب پذیری کشف شده (و ذخیره شده) توسط آژانس امنیت ملی (NSA) توسط حملات بدنام WannaCry و NotPetya (در میان بسیاری دیگر) برای ضربه زدن به دیجیتال مورد سوء استفاده قرار گرفت. زیرساخت ها در سراسر جهان

محققان امنیتی اکنون زنگ خطر جدیدی را در مورد آسیب‌پذیری قدرتمند دیگری در شهر به صدا در می‌آورند، آسیب‌پذیری که اگر اصلاح نشود می‌تواند حتی خطرناک‌تر از EternalBlue باشد.

این نقص جدید که به‌عنوان CVE-2022-37958 دنبال می‌شود، درست مانند EternalBlue عمل می‌کند و می‌تواند برای اجرای کدهای مخرب از راه دور بدون نیاز به احراز هویت مورد سوء استفاده قرار گیرد. این باگ همچنین «کرم‌پذیر» است، به این معنی که می‌تواند برای ضربه زدن به سایر سیستم‌های آسیب‌پذیر خود تکرار شود. دقیقاً به همین دلیل است که WannaCry و سایر حملات 2017 توانستند به سرعت گسترش پیدا کنند.

با این حال، برخلاف EternalBlue، CVE-2022-37958 حتی خطرناک‌تر است زیرا به پروتکل بلاک پیام سرور (SMB) محدود نمی‌شود، زیرا در مکانیزم مذاکره گسترده SPNEGO قرار دارد. SPNEGO توسط نرم افزار مشتری-سرور برای مذاکره در مورد انتخاب فناوری امنیتی مورد استفاده قرار می گیرد.

به لطف SPNEGO، یک کامپیوتر مشتری و یک سرور اینترنتی می توانند پروتکل مورد استفاده برای احراز هویت را تعیین کنند. فراتر از SMB، لیست پروتکل های تحت تاثیر شامل RDP، SMTP و HTTP است.

خطر ناشی از CVE-2022-37958 با این واقعیت کاهش می یابد که بر خلاف EternalBlue، راه حل مناسب از قبل برای سه ماه در دسترس بوده است.

مایکروسافت این باگ را در سپتامبر 2022 با انتشار وصله سه شنبه ماهانه خود برطرف کرد. در آن زمان، تحلیلگران ردموند این نقص ها را به عنوان “مهم” طبقه بندی کردند و این موضوع را به عنوان یک افشای احتمالی اطلاعات حساس و نه چیز دیگر، طبقه بندی کردند. پس از بررسی کد، همان تحلیلگران اکنون یک برچسب “بحرانی” به CVE-2022-37958 و درجه شدت 8.1 اختصاص داده اند – همان EternalBlue.

این واقعیت که یک پچ از قبل در دسترس است می تواند یک عامل تشدید کننده باشد تا یک عامل مثبت.

والنتینا پالمیوتی، محقق امنیتی IBM، گفت: «همانطور که در طول سال‌ها در مورد آسیب‌پذیری‌های مهم دیگر مانند MS17-010 مورد سوء استفاده EternalBlue دیده‌ایم، «برخی از سازمان‌ها چندین ماه است که وصله‌ها را به کندی اجرا می‌کنند یا موجودی دقیقی از سیستم‌های در معرض خطر ندارند. اینترنت و کلاً سیستم های وصله را از دست بدهند.”

این تهدید هنوز وجود دارد و از ویندوز 7 به بعد در کمین میلیون ها سیستم ویندوز است.



منبع