كاسبرسكي لاب تكشف عن ثغرة أمنية حرجة في «ويندوز»

اكتشفت التقنيات المؤتمتة الخاصة بكاسبرسكي لاب وجود ثغرة أمنية في نظام التشغيل "ويندوز" من مايكروسوفت، كان قد جرى استغلالها من قِبل مجموعة إجرامية مجهولة الهوية في محاولة للسيطرة على جهاز استهدفت نواة نظامه بهجوم عبر منفذ خلفي شُيِّد من أحد العناصر الأساسية في نظام التشغيل.

وتُعدّ المنافذ الخلفية نوعاً خطراً من البرمجيات الخبيثة نظراً لأنها تسمح لجهات التهديد بالتحكم في الأجهزة المصابة بطريقة مستترة لأغراض تخريبية. وعادة ما يكون اكتساب طرف خارجي لامتيازات نفاذ أعلى أمراً يصعب إخفاؤه عن الحلول الأمنية، إلاّ أن المنفذ الخلفي الذي يستغل ثغرة مجهولة في النظام، بشنّ هجمات فورية من دون انتظار Zero-day، تكون فرصته بتخطي الحلول الأمنية أعلى كثيراً. ولا يمكن للحلول الأمنية العادية التعرّف على إصابة النظام، كما لا يمكنها بالطبع حماية المستخدمين من تهديد غير مكتشف.

وعلى الرغم من ذلك، تمكنت تقنية كاسبرسكي لاب الخاصة بمنع الاستغلال من اكتشاف محاولة استغلال الثغرة الأمنية المجهولة في نظام التشغيل "ويندوز" من مايكروسوفت. وتمثّل سيناريو الهجوم الذي عُثر عليه بالشروع في تثبيت البرمجية الخبيثة بمجرّد إطلاق الملف التنفيذي ذي الامتداد exe.

واستغلت الإصابة هذه الثغرة وحصلت على امتيازات لضمان استمرار وجودها على الجهاز الضحية. وبدأت البرمجية الخبيثة بعد ذلك في إنشاء منفذ خلفي بالاعتماد على عنصر رسمي وشرعي من عناصر النظام "ويندوز"، متاح على جميع الأجهزة العاملة بنظام التشغيل هذا، وهو بُنية لغة برمجية تُدعى Windows PowerShell. وقد سمح ذلك للجهة التخريبية بالتسلل خِفية متجنبة الاكتشاف، ما أتاح لها الوقت في كتابة التعليمات البرمجية للأدوات الخبيثة، قبل أن تقوم البرمجية الخبيثة بتنزيل منفذ خلفي آخر من خدمة رسمية معروفة لتخزين النصوص، والذي بدوره منح المجرمين سيطرة كاملة على النظام المصاب.

وأشار أنطون إيفانوف الخبير الأمني لدى كاسبرسكي لاب، إلى "توجهين رئيسين" قال إنه تمّت ملاحظتهما في هذا الهجوم وكثيراً ما تُرى في التهديدات المستمرة المتقدمة؛ أولهما يتمثل في استغلال ترقية امتيازات النفاذ المحلية لضمان الاستمرار على الجهاز الضحية، أما الثاني فيكمن في استخدام البُنى الشرعية مثل Windows PowerShell للقيام بنشاط تخريبي على جهاز الضحية.