كشفت تقنيات الفحص والحماية التلقائية من كاسبرسكي لاب عن ثغرة أمنية جديدة في النظام "ويندوز"، يعتقد أنها تُستغلّ في شنّ هجمات موجّهة من قِبل اثنتين على الأقل من مجموعات التهديدات التخريبية، إحداهما مجموعة SandCat المكتشفة حديثاً. وتُعتبر هذه الثغرة رابع ثغرة في النظام الذي تنتجه شركة مايكروسوفت يجري الكشف عن إمكانية استغلالها في شنّ هجمات تُعرف باسم "هجمات بلا انتظار" Zero-Day، والتي كشفت عنها تقنيات كاسبرسكي لاب للحماية، والتي تعمل تلقائياً. تمّ إبلاغ مايكروسوفت بالثغرة الأمنية CVE-2019-0797 فسارعت إلى إصدار تصحيح برمجي.

ويظلّ هذا النوع من الثغرات مجهولاً، وبالتالي غير مصحّح، حتى يتم اكتشافه، ما يجعل المهاجمين قادرين على استغلالها في الوصول إلى أنظمة الضحايا وأجهزتهم. وتوجد الثغرة الأمنية المكتشفة في النظام الفرعي للرسوميات في النظام "ويندوز" للحصول على امتيازات الوصول إلى مناطق آمنة وأعلى أهمية في النظام، ما يتيح للمهاجم التحكّم الكامل في حاسوب الضحية. وتُظهر عيّنة البرمجية الخبيثة التي أخضعها باحثو كاسبرسكي لاب للفحص أن الاستغلال يستهدف إصدارات نظام التشغيل الواقعة بين Windows 8 وWindows 10.

ويرى الباحثون أن الثغرة التي تمّ اكتشافها يمكن استغلالها من قبل العديد من الجهات التخريبية، مثل FruityArmor وSandCat. وتشتهر الأولى بلجوئها إلى "هجمات بلا انتظار" كوسيلة تخريبية في الماضي، بينما المجموعة الثانية تمّ اكتشافها حديثاً.

وقال أنطون إيفانوف، الخبير الأمني لدى كاسبرسكي لاب، إن اكتشاف ثغرة جديدة في "ويندوز" يتم استغلاله بنشاط في الواقع يدل على "أهمية هذه الأدوات الباهظة الثمن والنادرة للجهات التخريبية"، مؤكداً حاجة الشركات إلى حلول أمنية يمكنها تأمين الحماية لها من مثل هذه التهديدات غير المعروفة، وأضاف: "يجدّد هذا الاكتشاف تأكيد أهمية التعاون بين قطاع الأمن ومطوري البرمجيات، إذ يُعتبر اكتشاف الأخطاء والإفصاح عنها بمسؤولية والتصحيح الفوري لها أفضل السبل الكفيلة بالحفاظ على المستخدمين في مأمن من التهديدات الجديدة والناشئة".

وتمّ اكتشاف الثغرة الأمنية المستغلة هذه بتقنية Automatic Exploit Prevention من كاسبرسكي لاب الخاصة بالمنع التلقائي للاستغلال، والمضمَّنة في معظم منتجات الشركة التي تكشف عن الاستغلال بالتعريفات التالية:
·         HEUR:Exploit.Win32.Generic

·         HEUR:Trojan.Win32.Generic

·         PDM:Exploit.Win32.Generic

وتوصي كاسبرسكي لاب باتخاذ الإجراءات الأمنية التالية:
·         المسارعة إلى تنزيل التصحيح البرمجي للثغرة الجديدة في النظام "ويندوز" من مايكروسوفت.

·         الحرص على تحديث جميع البرمجيات المستخدمة في الشركة بانتظام، ومع نزول أي إصدار تصحيح أمني جديد. وقد تساعد المنتجات الأمنية ذات إمكانيات تقييم الثغرات وإدارة التصحيحات البرمجية على أتمتة هذه العمليات.

·         اختيار حل أمني مثبت مثل Kaspersky Endpoint Security مجهّز بقدرات الكشف المستندة على السلوك، من أجل ضمان حماية فعالة من التهديدات المعروفة والمجهولة، بما فيها تهديدات الاستغلال.

·         استخدام أدوات أمنية متقدمة مثل Kaspersky Anti Targeted Attack Platform، إذا أصبحت الشركة عُرضة لهجمات موجهة.

·         إتاحة وصول فريق الأمن في الشركة إلى مصدر موثوق لأحدث المعلومات المتعلقة بالتهديدات الإلكترونية. ويتاح المجال أمام عملاء خدمة Kaspersky Intelligence Reporting للحصول على تقارير خاصة تتناول أحدث التطورات في مشهد التهديدات. ويمكن التواصل مع الشركة عبر [email protected]، للحصول على مزيد من التفاصيل.

·         التأكّد من تدريب الموظفين على أساسيات الأمن الإلكتروني.
يمكن الاطلاع على مزيد من التفاصيل في المدونة Securelist.com.
وتتاح تسجيل لمحاضرة عبر الويب مقدمة من كاسبرسكي لاب لعرضها عند الطلب، وإلقاء نظرة فاحصة على التقنيات التي اكتشفت هذه الثغرة وغيرها في النظام "ويندوز".