نظام ويندوز من مايكروسوفت يتعرض لثغرة أمان خطيرة

في تحديث الأمان الذي أصدرته مايكروسوفت الشهر الماضي، تم تضمين ثغرة تصعيد الامتياز في نظام Windows يتم استغلالها من قبل القراصنة. تؤثر هذه الثغرة بشكل رئيسي على الإصدارات المبكرة من Windows، في حين يبدو أن نظام Windows 11 غير متأثر. على الرغم من أن مايكروسوفت تعمل على تعزيز تدابير أمان النظام باستمرار، إلا أن المهاجمين لا يزالون قادرين على استغلال مثل هذه الثغرات لتنفيذ هجماتهم. ستقوم هذه المقالة بتحليل التفاصيل الدقيقة لهذه الثغرة وطرق الهجوم المحتملة.

تم إجراء عملية التحليل هذه في بيئة Windows Server 2016.

خلفية الثغرة

هذه ثغرة يوم الصفر، أي ثغرة نظام لم يتم الكشف عنها وإصلاحها بعد. غالبًا ما تكون ثغرات يوم الصفر مدمرة للغاية، لأن المهاجمين يمكنهم استغلالها دون أن يتم اكتشافهم. من خلال هذه الثغرة على مستوى نظام Windows، يمكن للقراصنة الحصول على السيطرة الكاملة على النظام.

قد تؤدي الأنظمة التي يتحكم بها الهاكرز إلى عواقب خطيرة متعددة، بما في ذلك على سبيل المثال لا الحصر: سرقة المعلومات الشخصية، انهيار النظام وفقدان البيانات، خسائر مالية، وزرع برمجيات خبيثة. بالنسبة للمستخدمين الأفراد، قد يتم سرقة مفاتيح العملات المشفرة، مما يعرض الأصول الرقمية لخطر النقل. من منظور أوسع، قد تؤثر هذه الثغرة حتى على النظام البيئي بأكمله لـ Web3 القائم على بنية Web2 التحتية.

تحليل الثغرات

بعد تحليل التصحيح، تبين أن المشكلة تكمن في أن عداد الإشارة لكائن ما تمت معالجته مرة أخرى. وعند دراسة التعليقات على الشيفرة المصدرية السابقة، تبين أن الشيفرة السابقة كانت تقفل فقط كائن النافذة، ولكنها لم تقفل كائن القائمة داخل كائن النافذة، مما قد يؤدي إلى الإشارة الخاطئة لكائن القائمة.

استغلال الثغرات

لقد أنشأنا هيكل قائمة متعدد الطبقات خاصًا لاستغلال ثغرة. تحتوي هذه القوائم على أنواع معرفات محددة وعلاقات مرجعية، وذلك للمرور عبر مختلف الفحوصات في النظام. يكمن المفتاح في حذف العلاقات المرجعية بين قوائم معينة عندما يعود دالة ما إلى مستوى المستخدم، مما يؤدي إلى تحرير كائن قائمة رئيسية. بهذه الطريقة، عندما يحاول النظام مرة أخرى الإشارة إلى كائن القائمة هذا، ستظهر خطأ.

تنفيذ استغلال الثغرات

تتكون استغلال الثغرات بشكل أساسي من خطوتين: أولاً التحكم في قيمة معلمة حاسمة، ثم استخدام هذا التحكم لإنشاء بدائل قراءة وكتابة مستقرة. من خلال تصميم تخطيط الذاكرة بعناية، استغللنا الهيكل المحدد لكائنات النوافذ وكائنات فئة النوافذ، مما أدى في النهاية إلى تحقيق قراءة وكتابة عشوائية للنظام.

الاستنتاج

1. مايكروسوفت تحاول إعادة بناء كود win32k المتعلق بـ Rust، وقد لا توجد مثل هذه الثغرات في النظام الجديد في المستقبل.

2. عملية استغلال هذه الثغرات بسيطة نسبيًا، وتعتمد بشكل أساسي على تسرب عنوان مقبض كومة سطح المكتب.

3. قد يكون اكتشاف هذه الثغرة نتيجة لتحسين تقنيات الكشف عن تغطية الشفرات.

4. بالنسبة لاكتشاف الثغرات، بالإضافة إلى التركيز على وظائف تفعيل الثغرات، يجب أيضًا الانتباه إلى تخطيط الذاكرة غير الطبيعي وسلوك قراءة وكتابة البيانات.

بشكل عام، على الرغم من أن أمان نظام Windows يتحسن باستمرار، إلا أن هذه الثغرات في الأنظمة القديمة لا تزال تشكل تهديدًا أمنيًا خطيرًا. إن تحديث تصحيحات النظام في الوقت المناسب وزيادة الوعي الأمني لا يزالان من التدابير الأساسية لحماية أمان النظام.