تحصل الساعة الحاسمة التي استهدفت باحثي الأمان على تصحيح من Microsoft

10

احصل على التصحيحات الخاصة بك –

أمضى المتسللون أسابيع في بناء علاقات مع الباحثين ثم حاولوا إصابةهم.

Dan Goodin –

Shadowy figures stand beneath a Microsoft logo on a faux wood wall.

قامت Microsoft بتصحيح ثغرة أمنية حرجة يستخدمها قراصنة كوريا الشمالية لاستهداف الأمان باحثين مع برامج ضارة.

جاءت الهجمات في البرية لتضيء في يناير في مشاركات من Google و Microsoft. قال المنشوران إن المتسللين المدعومين من حكومة كوريا الشمالية أمضوا أسابيع في تطوير علاقات العمل مع الباحثين الأمنيين. لكسب ثقة الباحثين ، أنشأ المتسللون مدونة بحثية وشخصيات Twitter التي اتصلت بالباحثين لسؤالهم عما إذا كانوا يريدون التعاون في مشروع ما.

 

في النهاية ، طلبت ملفات تعريف Twitter المزيفة من الباحثين استخدام Internet Explorer لفتح صفحة ويب. سيجد أولئك الذين أخذوا الطُعم أن جهاز Windows 10 المصحح بالكامل قد قام بتثبيت خدمة ضارة وباب خلفي في الذاكرة يتصل بخادم يتحكم فيه المتسللون. قامت مايكروسوفت يوم الثلاثاء بتصحيح الثغرة الأمنية. تم تصنيف CVE-2021-26411 ، نظرًا لتعقب الخلل الأمني ​​، بأنه حرج ولا يتطلب سوى رمز هجوم منخفض التعقيد لاستغلاله.

من الخرق لثروات

قالت جوجل فقط إن الأشخاص الذين تواصلوا مع الباحثين عملوا لحساب حكومة كوريا الشمالية. قالت مايكروسوفت إنهم جزء من Zinc ، وهو اسم Microsoft لمجموعة تهديد معروفة باسم Lazarus. على مدى العقد الماضي ، تحول لعازر من مجموعة متناثرة من المتسللين إلى ما يمكن أن يكون في كثير من الأحيان لاعب تهديد هائل.

أفادت تقارير أن تقرير للأمم المتحدة من عام 2019 قدّر أن لازاروس والجماعات المرتبطة به قد حققوا ملياري دولار لبرامج أسلحة الدمار الشامل في البلاد. تم ربط Lazarus بـ Wannacry worm الذي أغلق أجهزة الكمبيوتر في جميع أنحاء العالم ، والبرامج الضارة التي لا تحتوي على ملفات Mac ، والبرامج الضارة التي تستهدف أجهزة الصراف الآلي ، وتطبيقات Google Play الضارة التي تستهدف المنشقين.

بالإضافة إلى استخدام هجوم حفرة الماء الذي استغل IE ، أرسل قراصنة لازاروس الذين استهدفوا الباحثين أهدافًا مشروع Visual Studio يُزعم أنه يحتوي على شفرة المصدر لاستغلال إثبات المفهوم. مخبأة داخل المشروع برامج ضارة مخصصة اتصلت بخادم التحكم للمهاجمين.

بينما تصف Microsoft CVE-2021-26411 بأنها “ثغرة أمنية لتلف الذاكرة في Internet Explorer” ، تشير الإرشادات الاستشارية الصادرة يوم الاثنين إلى أن الثغرة الأمنية تؤثر أيضًا على Edge ، وهو متصفح أنشأته Microsoft من البداية وهو أكثر أمانًا بكثير من IE. تحتفظ الثغرة الأمنية بتصنيفها الحرج لـ Edge ، ولكن لا توجد تقارير تفيد بأن عمليات الاستغلال استهدفت بشكل نشط مستخدمي ذلك المتصفح.

جاء التصحيح كجزء من تحديث مايكروسوفت الثلاثاء. في المجمل ، أصدرت Microsoft 89 تصحيحًا. إلى جانب ثغرة IE ، هناك عيب امتياز تصعيد منفصل في مكون Win32k يخضع أيضًا للاستغلال النشط. سيتم تثبيت التصحيحات تلقائيًا خلال اليوم أو اليومين التاليين. يجب على أولئك الذين يريدون التحديثات فورًا الانتقال إلى ابدأ> الإعدادات (رمز الترس)> التحديث والأمان> Windows Update.