ووفقًا لخبراء «كاسبرسكي» استخدمت إحدى الثغرات لتنفيذ شيفرة عن بُعد في متصفح الويب الشهير «كروم»، في حين تمثلت الأخرى في رفع مستوى الامتياز بعد أن ضُبطت بدقة لاستهداف أحدث إصدارات النظام «ويندوز 10».
ويستغل الهجوم الأخير في الواقع ثغرتين أمنيتين في نواة نظام تشغيل مايكروسوفت الشهير: ثغرة تتيح الكشف عن المعلومات، ومنحت الرمز CVE-2021-31955، وثغرة رفع مستوى الامتياز CVE-2021-31956.
ولم تعثر كاسبرسكي حتى الآن على صلة بين هذه الهجمات وأية جهات تخريبية معروفة. لذلك، أطلقت على الجهة، التي تقف وراءها اسم PuzzleMaker.
وقد أصدرت ونفّذت مايكروسوفت منتصف الأسبوع الماضي، تصحيحًا لكلتي الثغرتين ضمن ما أصبح متعارفًا عليه في عالم البرمجيات بتصحيحات «يوم الثلاثاء» البرمجية.
شيفرات برمجيةوشهدت الأشهر القليلة الماضية موجة من التهديدات المتقدمة، التي تستغل ثغرات «يوم الصفر» الموجودة في أنظمة قائمة وعاملة.
ونُفّذت جميع الهجمات من خلال «كروم» مستغلّة ثغرة أمنية سمحت بتنفيذ الشيفرات البرمجية عن بُعد.
وبينما لم يتمكن باحثو كاسبرسكي من استرداد هذه الشيفرات، يشير الجدول الزمني والتوافر إلى أن المهاجمين استغلوا الثغرة الأمنية CVE-2021-21224، التي أضحت الآن مُصحَّحة وغير موجودة.
وقد ارتبطت هذه الثغرة الأمنية بخلل برمجي يتعلق بعدم تطابق النوع في محرك «جافا سكريبت» V8 المستخدم في متصفحات الويب «كروم» و«كروميوم».
وسمحت الثغرة للمهاجمين باستغلال إجراءات العارض في «كروم» (المسؤولة عما يحدث داخل تبويبات المتصفح).
مستوى الامتيازلكن خبراء كاسبرسكي استطاعوا إيجاد حادث الاستغلال الثاني وتحليله، والمتمثل برفع مستوى الامتياز عبر استغلال ثغرتين مختلفتين في نواة نظام التشغيل «ويندوز»، الأولى ثغرة أمنية تؤدي إلى الكشف عن معلومات حساسة تتعلق بالنواة، مُنحت الرمز CVE-2021-31955. وترتبط هذه الثغرة تحديدًا بميزة SuperFetch، التي ظهرت لأول مرة في نسخة «ويندوز فيستا»، وتهدف إلى تقليل أوقات تحميل البرمجيات عن طريق التحميل المسبق في الذاكرة للتطبيقات شائعة الاستخدام.
أما الثغرة الأمنية الثانية، المتعلقة برفع مستوى الامتياز، فسمحت للمهاجمين باستغلال النواة والحصول على امتياز وصول مرتفع إلى الحاسوب، ومنحت الرمز CVE-2021-31956.
واستخدم المهاجمون هذه الثغرة الأمنية بجانب أداة تنبيهات ويندوز WNF لإنشاء ذاكرة عشوائية بسيطة للقراءة/ الكتابة وتنفيذ وحدات البرمجيات الخبيثة بامتياز النظام.
إدارة الهجوموبعد استغلال المهاجمين للثغرات في إيجاد موطئ قدم في النظام المستهدف، تقوم وحدة إدارة مراحل الهجوم بتنزيل أداة خاصة بإطلاق البرمجيات الخبيثة وتنفيذها. وتتسم هذه الوحدة بالتعقيد ويجري تنزيلها من خادم بعيد. وتعمل أداة الإطلاق هذه بدورها على تثبيت ملفين تنفيذيين مستترين بهيئة ملفين أصليين من ملفات النظام «ويندوز»، أحدهما عبارة عن وحدة shell يمكن التحكم بها عن بُعد لتنزيل الملفات وتحميلها وإنشاء العمليات والركون لفترات زمنية معينة، وحتى حذف نفسها من النظام المصاب.
مراقبة للمشهدوقال الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي بوريس لارين: «سنراقب عن كثب المشهد الأمني لنشاط هذه المجموعة وكل ما يمكن أن يكون على صلة بها، وبشكل عام، رأينا حديثًا عدّة موجات من أنشطة التهديدات البارزة، التي استغلت ثغرات أمنية برمجية من نوع «يوم الصفر»، ما يُعدّ تنبيهًا بأن هذا النوع من الهجمات ما زال طريقة فعالة لإصابة الأهداف. ومن الممكن الآن أن نشهد زيادة في استغلال هذه الثغرات، بعد الإعلان عنها، من قبل هذه الجهة وجهات تخريبية أخرى. لذلك من المهم أن يبادر المستخدمون إلى تنزيل أحدث إصدار من «ويندوز» في أقرب فرصة ممكنة».
إجراءات حماية ونصح خبراء كاسبرسكي للحماية من الهجمات، التي تستغل الثغرات الأمنية المذكورة، تحديث المتصفح «كروم» والنظام «ويندوز» في أقرب فرصة ممكنة مع مراعاة فعل هذا الأمر بانتظام، واستخدام حل أمني موثوق به لحماية النقاط الطرفية، مؤكدين أهمية تثبيت حلول قادرة على مكافحة التهديدات المتقدمة المستمرة والكشف عن التهديدات والاستجابة لها عند النقاط الطرفية، ما يتيح إمكانية اكتشاف التهديدات والتحقيق في الحوادث الناجمة عنها ومعالجتها في الوقت المناسب، وتزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات واكتساب مهارات التعامل معها بانتظام من خلال التدريب المهني.
