تقوم شركة Microsoft بتصحيح أخطاء نظام التشغيل Windows Zero-Day المستخدمة في هجمات برامج الفدية
تقوم شركة Microsoft بتصحيح أخطاء نظام التشغيل Windows Zero-Day المستخدمة في هجمات برامج الفدية
قامت Microsoft بتصحيح ثغرة يوم الصفر تؤثر على جميع الإصدارات المدعومة من Windows ، والتي يقول الباحثون إن المتسللين استغلوها لشن هجمات رانسوم وير.
مايكروسوفت قال في تنبيه أمني يوم الثلاثاء أن المهاجم الذي نجح في استغلال الثغرة الأمنية في نظام ملفات سجل Windows المشترك (CLFS) يمكن أن يحصل على وصول كامل إلى نظام غير مصحح. أكدت Microsoft أن المهاجمين كانوا يستغلون الثغرة الأمنية بنشاط.
شركة الأمن السيبراني الروسية كاسبيرسكي يقول تم استخدام الخلل لنشر Nokoyawa ransomware ، والتي تستهدف في الغالب خوادم Windows التي تنتمي إلى الشركات الصغيرة والمتوسطة الحجم في الشرق الأوسط وأمريكا الشمالية وآسيا.
في تحليلها للثغرة الأمنية ، تقول Kaspersky إن يوم الصفر يبرز لأنه يتم استغلاله بنشاط من قبل مجرمي الإنترنت ذوي الدوافع المالية.
قال بوريس لارين ، الباحث الأمني الرئيسي في Kaspersky: “أصبحت مجموعات الجريمة الإلكترونية أكثر تطوراً بشكل متزايد باستخدام ثغرات يوم الصفر في هجماتها”. “في السابق ، كانوا في الأساس أداة للجهات الفاعلة في APT ، لكن مجرمي الإنترنت لديهم الآن الموارد اللازمة للحصول على صفر أيام واستخدامها بشكل روتيني في الهجمات.”
لوحظ نوكوياوا لأول مرة في فبراير 2022 ويُعتقد أنه مرتبط بعصابة Hive Ransomware التي انتهت صلاحيتها الآن ، والتي اخترقتها سلطات إنفاذ القانون وأغلقتها في يناير. “تشترك العائلتان في بعض أوجه التشابه اللافتة للنظر في سلسلة هجومهما ، من الأدوات المستخدمة إلى الترتيب الذي ينفّذون به الخطوات المختلفة ،” Trend Micro قال في تحليل في ذلك الوقت.
تقوم البرامج الضارة Nokoyawa بتشفير الملفات على الأنظمة التي تخترقها ، لكن المشغلين يدعون أيضًا سرقة المعلومات القيمة التي يهددون بتسريبها ما لم يتم دفع فدية.
أضافت وكالة الأمن السيبراني الأمريكية CISA ثغرة Windows المصححة حديثًا إلى كتالوج الثغرات الأمنية المستغلة المعروفة وحث الوكالات الفيدرالية على تحديث الأنظمة قبل 2 مايو.
أصلحت Microsoft ما يقرب من 100 عيب كجزء من التحديث المنتظم يوم الثلاثاء التصحيح. قام عملاق التكنولوجيا أيضًا بإصلاح خطأ في تنفيذ التعليمات البرمجية عن بُعد والذي قد يسمح لمهاجم بعيد غير مصادق بتشغيل التعليمات البرمجية الخاصة به بامتيازات مرتفعة على الخوادم المتأثرة مع تمكين خدمة وضع الرسائل في قائمة انتظار من Microsoft.