ثغرة أمنية في خدمة الإبلاغ عن الأخطاء في Microsoft Windows، والتي تم اكتشافها وتصحيحها منذ ثلاثة أشهر تحديث الثلاثاء التصحيح لشهر مارس 2024، يبدو أنه تم استغلاله باعتباره صفر يوم بواسطة بسطة سوداء عصابة برامج الفدية قبل معالجتها، تم تحذير المستخدمين.
CVE-2024-26169 لم يلفت سوى القليل من الاهتمام في شهر مارس – فقد تم تصنيفه على أنه مهم من حيث خطورته وتم تعيين درجة أساسية لـ CVSS تبلغ 7.8، ولم تحدد Microsoft أي أدلة عامة على المفهوم أو الثغرات المتداولة. إذا تركت دون معالجة، فإنها تمكن المهاجم من رفع امتيازاته، وبالتالي يمكن أن تشكل عنصرًا في سلسلة الهجمات السيبرانية.
وفقًا لفريق Threat Hunter التابع لشركة Symantec، دون علم Microsoft في ذلك الوقت، يبدو أن هذا قد حدث بالفعل. ويقول الباحثون إنهم حددوا وحللوا أداة استغلال لـ CVE-2024-26169 التي تم نشرها في الهجمات الأخيرة والتي يبدو أنه تم تجميعها قبل التصحيح – مما أدى إلى تغيير حالة الثغرة الأمنية بأثر رجعي إلى حالة اليوم صفر.
“على الرغم من أن المهاجمين لم ينجحوا في نشر حمولة برامج الفدية في هذا الهجوم، إلا أن التكتيكات والتقنيات والإجراءات المستخدمة كانت مشابهة إلى حد كبير لتلك الموصوفة في تقرير Microsoft الأخير الذي يوضح بالتفصيل نشاط Black Basta. وقال فريق Threat Hunter: “شمل ذلك استخدام البرامج النصية المجمعة التي تتنكر في شكل تحديثات للبرامج”.
“على الرغم من عدم نشر أي حمولة، فإن أوجه التشابه في TTPs تجعل من المحتمل جدًا أن يكون هجوم Black Basta فاشلاً.”
يبدو أن أداة الاستغلال تعتمد على حقيقة أن ملفًا معينًا، werkernel.sys، يستخدم واصف أمان “خالي” عندما يقوم بإنشاء مفاتيح التسجيل، ولأن المفتاح الأصلي يحتوي على إدخال التحكم في الوصول “Creator Owner” (ACE) للمفاتيح الفرعية فإن المفاتيح الفرعية الناتجة كلها مملوكة لمستخدمي العملية الحالية.
وقالت سيمانتيك إن عصابة برامج الفدية استفادت من ذلك لإنشاء مفتاح تسجيل محدد حيث تقوم بتعيين قيمة “Debugger” كاسم مسار قابل للتنفيذ. وهذا بدوره يمكّن الاستغلال من بدء تشغيل Shell باستخدام حقوق المسؤول.
وقال الباحثون إنه تم تجميع نوعين مختلفين من الأداة التي اكتشفوها منذ عدة أشهر، الأول في 18 ديسمبر 2023، والثاني في 27 فبراير 2024، على الرغم من أنه من المهم فهم أن قيم الطابع الزمني في الملفات التنفيذية المحمولة يمكن تغييرها. ، والطابع الزمني المحدد ليس في حد ذاته دليلاً كافيًا على استخدام CVE-2024-26169 كيوم صفر.
ومع ذلك، قالت سيمانتيك أنه نظرا لاستئناف بلاك باستا للهجمات التالية تعطيل شبكة الروبوتات Qakbot المفضلة لديها في أغسطس 2023فمن المرجح أن العصابة هي التي تقف وراء هذه الأداة بالذات.
كيفن روبرتسون، الرئيس التنفيذي للعمليات والمؤسس المشارك في الفطنة، قال في تصريحات سابقة إنه لا يوجد دليل على أن CVE-2024-26169 قد أغرى العديد من مسؤولي الإنترنت إلى شعور زائف بالأمان وأدى إلى عدم إعطاء الأولوية للتصحيح في الاندفاع الشهري المعتاد.
وقال: “تستغل عصابات الجريمة السيبرانية نقاط الضعف في البرامج واسعة الانتشار، مثل مايكروسوفت، وتستخدمها كأبواب خلفية للدخول إلى الأنظمة”. “يقع على عاتق بائعي البرمجيات واجب البحث المستمر عن نقاط الضعف ومعالجتها، وإلا فإنهم يعرضون عملائهم لمخاطر جسيمة. كما يقع على عاتقهم أيضًا واجب التحقيق فيما إذا تم استغلال الثغرات الأمنية بشكل عام قبل إصدار التصحيحات، لأن ذلك قد يؤدي إلى تفويت المؤسسات للتسويات.
قال روبرتسون: “بالنسبة لأي منظمة لم تقم بتصحيح مشكلة مكافحة التطرف العنيف هذه بعد، افعل ذلك الآن، لأنه في أيدي خصم مثل Black Basta، أصبحت واحدة من أخطر نقاط الضعف في الوقت الحاضر”.
