مایکروسافت باگ روز صفر ویندوز مورد استفاده در حملات باج افزار را اصلاح می کند

مایکروسافت یک آسیب‌پذیری روز صفر را اصلاح کرده است که تمامی نسخه‌های پشتیبانی‌شده ویندوز را تحت تأثیر قرار می‌دهد و به گفته محققان، هکرها از آن برای انجام حملات باج‌افزاری سوءاستفاده کرده‌اند.

مایکروسافت در یک هشدار امنیتی در روز سه‌شنبه اعلام کرد که مهاجمی که با موفقیت از آسیب‌پذیری موجود در سیستم فایل گزارش مشترک ویندوز (CLFS) سوء استفاده کند، می‌تواند به یک سیستم اصلاح نشده دسترسی کامل پیدا کند. مایکروسافت تأیید کرد که مهاجمان به طور فعال از این آسیب‌پذیری سوء استفاده می‌کنند.

شرکت امنیت سایبری روسی Kaspersky می‌گوید این نقص برای استقرار باج‌افزار Nokoyawa استفاده شده است که عمدتاً سرورهای ویندوز متعلق به مشاغل کوچک و متوسط ​​مستقر در خاورمیانه، آمریکای شمالی و آسیا را هدف قرار می‌دهد.

کسپرسکی در تحلیل خود از این آسیب‌پذیری می‌گوید که روز صفر برجسته است زیرا به طور فعال توسط مجرمان سایبری با انگیزه مالی مورد سوء استفاده قرار می‌گیرد.

بوریس لارین، محقق ارشد امنیت در کسپرسکی، گفت: «گروه‌های جرایم سایبری با استفاده از سوء استفاده‌های روز صفر در حملات خود به طور فزاینده‌ای پیچیده‌تر می‌شوند. پیش از این، آنها در درجه اول ابزاری برای بازیگران APT بودند، اما اکنون مجرمان سایبری منابع لازم برای به دست آوردن روزهای صفر و استفاده معمول از آنها در حملات را دارند.

Nokoyawa برای اولین بار در فوریه 2022 مشاهده شد و گمان می رود که به باج افزار باج افزار Hive که اکنون منحل شده است، متصل است، که مجری قانون در ژانویه نفوذ کرده و آن را تعطیل کرد. Trend Micro در آن زمان در تحلیلی گفت: «این دو خانواده شباهت های قابل توجهی در زنجیره حمله خود دارند، از ابزارهای مورد استفاده گرفته تا ترتیب اجرای مراحل مختلف».

بدافزار Nokoyawa فایل‌ها را در سیستم‌هایی که به خطر می‌اندازد رمزگذاری می‌کند، اما اپراتورها همچنین ادعا می‌کنند اطلاعات ارزشمندی را سرقت می‌کنند که تهدید به افشای آن‌ها می‌کنند مگر اینکه باج پرداخت شود.

آژانس امنیت سایبری ایالات متحده CISA آسیب‌پذیری ویندوز را که به تازگی اصلاح شده را به فهرست آسیب‌پذیری‌های مورد سوء استفاده شناخته شده خود اضافه کرد و از آژانس‌های فدرال خواست تا سیستم‌ها را قبل از ۲ می به‌روزرسانی کنند.

مایکروسافت تقریباً 100 نقص را به عنوان بخشی از به‌روزرسانی برنامه‌ریزی منظم Patch Tuesday خود برطرف کرد. این غول فناوری همچنین یک نقص اجرای کد از راه دور را برطرف کرد که می‌توانست به یک مهاجم از راه دور و احراز هویت نشده اجازه دهد تا کد خود را با امتیازات بالا روی سرورهای آسیب‌دیده با فعال بودن سرویس صف پیام مایکروسافت اجرا کند.