نقاط ضعف مهم در ویندوز که کاربران را در معرض حملات جدید قرار می‌دهند

نقاط ضعف ویندوز 10 که باعث شد در تیر ماه سال 1396 مایکروسافت یکسری پچ ( patch ) برای بعضی آسیب‌پذیری‌های حیاتی که در تمام نسخه‌های سیستم‌عامل ویندوز وجود دارند و باعث نقایصی در ویندوز 10 شده، عرضه کند.

محققین در Preempt دو آسیب‌پذیری موجود در پروتکل‌های امنیتی Microsoft Windows NT LAN Manager یا به اختصار NTLM را تحلیل و شناسایی کردند که می‌توانند منجر به استفاده غیرمجاز از اطلاعات اعتباری (credential) کاربر، کرک (crack) پسورد و یا به خطر افتادن دامنه‌ها شوند.

این دو آسیب‌پذیری در فروردین ماه 1396 توسط این شرکت، شناسایی و گزارش شده بودند.

NT LAN Manager یا به اختصار NTLM مجموعه‌ای از پروتکل‌های امنیتی مایکروسافت است که امکاناتی مثل احراز هویت، صحت و یکپارچگی (integrity) و محرمانگی را برای کاربران فراهم می‌کند و جایگزین پلتفرم قدیمی ‌Windows LAN Manager) LANMAN) شده است.

اطلاعات ما راجع به این دو آسیب‌پذیری

1. اولین آسیب‌پذیری NTLM که به نام CVE-2017-8563 شناخته می‌شود، مربوط به پروتکل حفاظت نشده‌ دسترسی به دایرکتوری سبک وزن (Lightweight Directory Access Protocol یا به اختصار LDAP) از NTLM relay است. هدف از LDAP پیشگیری از حملات مرد میانی و انتقال اعتبار (credential forwarding) بود اما در انجام این کار، ناموفق بود.

بنابراین وقتی در پروتکل‌های ویندوز از APIی Windows Authentication استفاده شود؛ که امکان  تغییر رتبه سشن (نشست) احراز هویت را به شکل NTLM فراهم می‌کند، در صورتی که این سیستم به یک ماشین آلوده متصل شود، امکان افشای اطلاعات آن وجود دارد.

اگر در یک سیستم آسیب‌پذیر اکانت ادمین دامنه (domain admin) فعال شده باشد، مهاجمین می‌توانند یک اکانت ادمین ایجاد کنند و کنترل کامل شبکه‌ای که به آن حمله کردند را در دست بگیرند.

2. آسیب‌پذیری بعدی NTLM که شناسه CVE ندارد، مربوط به حالت Restricted-Admin در پروتکل Desktop Protocol RDP است و طبق اعلام تیم Preempt این امکان را فراهم می‌کند که “کاربران بدون دادن پسوردشان به یک ماشین ریموت که ممکن است باعث افشای پسوردشان شود، به آن ماشین متصل شوند.”

این یعنی تمام حملات سایبری که با NTLM صورت می‌گرفت مثل کرک کردن پسورد و سرقت اطلاعات کاربران، علیه این پروتکل Remote Desktop در حالت Restricted-Admin قابل انجام است.

همچنین محققین Preempt در ادامه توضیح دادند که وقتی یک ادمین با پروتکل‌هایی مثل RDP Restricted-Admin، HTTP یا SMB متصل می‌شود، مهاجم می‌تواند یک domain admin جعلی درست کند و این موضوع ثابت می‌کند پروتکل امنیتی NTLM آسیب‌پذیر است و ممکن است باعث شود افراد و سازمان‌ها در معرض خطر از دست دادن اطلاعات حیاتی خودشان قرار بگیرند.

این آسیب‌پذیری‌ها که توسط Preempt گزارش شدند، شباهت‌هایی به باج‌افزار پتیا (Petya) و واناکرای (WannaCry) دارند و ممکن است به‌زودی منجر به یک حمله سایبری جدید شوند. این احتمال وجود دارد که در چند روز یا چند هفته آینده شاهد حمله یک باج‌افزار جدید باشیم، بنابراین لازم است تمام اقدامات احتیاطی لازم را به عمل آوریم و هر چه سریع تمام به‌روزرسانی‌های جدید ویندوز را نصب کنیم.

به‌روزرسانی در تیرماه 1396

لازم است در این قسمت یکسری اطلاعات راجع به دو ابزار هک در اختیار شما قرار بدهیم که ممکن است منجر به نشت داده و به خطر افتادن کاربران شوند.

وب‌سایت Wikileaks Vault-7 دو ابزار هک جدید CIA را افشا کرده است: BothanSpy و Gyrfalcon که هر دوی این ابزارها برای سوءاستفاده از سیستم‌عامل‌های ویندوز و لینوکس و سرقت اطلاعات کاربران (نام کاربری و رمز عبور) در SSH استفاده می‌شوند.

BothanSpy ابزاری است که به برنامه Xshell در SSH حمله می‌کند و تمرکزش سیستم‌عامل ویندوز است و نام کاربری و رمز عبور کاربران را به سرقت می‌برد. این ابزار هم مثل Gyrfalcon فقط اطلاعات مربوط به نشست‌های فعال SSH را به سرقت نمی‌برد بلکه تمام یا بخشی از ترافیک نشست OpenSSH را جمع‌آوری می‌کند.

برای درک بهتر عملکرد این حملات سایبری و چگونگی کشف آسیب‌پذیری‌های نرم‌افزارهای بروز نشده توسط مجرمین سایبری، توصیه می‌کنیم که حتماً تصویر زیر را مشاهده کنید.

مسلماً درک این موضوع که اقدامات امنیتی پیشگیرانه در برابر خطرات شناخته شده تأثیرات بلند مدتی برای افراد و سازمان‌ها دارد، حیاتی است و لازم است جهت پیشگیری از سرقت اطلاعات حیاتی، مقابله با این خطرات را جدی گرفت.

باز هم مثل همیشه تأکید می‌کنیم که بهترین محافظ در برابر جرائم سایبری، اقدامات پیشگیرانه به همراه آموزش اصول امنیت سایبری است.