در گزارش آسیبپذیریها و اکسپلویتهای سهماهه چهارم ۲۰۲۴، تعداد اکسپلویتهای منتشرشده برای ویندوز و لینوکس کمتر از سه فصل اول سال بود. با این حال، تعداد آسیبپذیریهای ثبتشده همچنان روندی صعودی داشت؛ اما تعداد نمونههای PoC (اثبات مفهوم) نسبت به ۲۰۲۳ کاهش یافت. از تکنیکهای قابل توجه در این دوره، مهاجمان از واسطهای RPC مستندنشده و سازوکار احراز هویت ویندوز سوءاستفاده کردند.
ما در این مقاله با استناد به گزارش کسپرسکی به ارائه آمار مربوط به اکسپلویتها و آسیب پذیریها در سه ماهه چهارم ۲۰۲۴ خواهیم پرداخت.
آمار آسیبپذیریهای ثبتشده
در این بخش آماری در مورد آسیب پذیریهای ثبت شده در سه ماهه چهارم ۲۰۲۴ ارائه شده است. منبع این دادهها، cve.org میباشد.
در سهماهه چهارم ۲۰۲۴، مستندسازی نقصهای نرمافزاری که منجر به آسیبپذیری میشوند، همچنان رشد داشت. سهم آسیبپذیریهای بحرانی نسبت به سهماهه چهارم ۲۰۲۳ اندکی بیشتر شده است. در مجموع، بسیاری از آسیبپذیریها از طریق برنامههای باگبانتی و تحقیقات عمومی امنیت نرم افزاری، شناسه CVE دریافت میکنند.
همانطور که در نمودار مشخص است، تعداد اکسپلویتهای منتشرشده برای آسیبپذیریها به حدود ۶٪ رسید که ۴ درصد کمتر از ۲۰۲۳ است. این کاهش ممکن است ناشی از نیازمندی های جدید فروشندگان نرمافزار باشد که افشای اطلاعات مربوط به روشهای اکسپلویت را محدود میکنند. به نظر میرسد محققان امنیتی با درخواستهای بیشتری از این دست مواجه میشوند. بنابراین، روندهای اصلی ۲۰۲۴ شامل افزایش تعداد آسیبپذیریهای ثبتشده، کاهش نمونههای PoC و ثبات سهم آسیبپذیریهای بحرانی در سطح ۲۰۲۳ بود.
رایجترین آسیبپذیریهای مورد سوءاستفاده در حملات واقعی ۲۰۲۳ و ۲۰۲۴
مشابه سال ۲۰۲۳، سه تا آسیبپذیری نرمافزاری که بیشترین سوءاستفاده را داشتند عبارتاند از:
- CWE-78: بیاثرسازی ناکافی یا نامناسب ورودیهای خط فرمان (OS Command Injection)
- CWE-20: فیلتر و اعتبارسنجی نامناسب ورودی، که شامل بیشتر آسیبپذیریهایی میشود که امکان کنترل برنامهها را برای مهاجم فراهم میکنند.
- CWE-787: آسیبپذیریهای ناشی از خرابی حافظه (Out-of-bounds Write)
این نقصها مدتهاست که شناخته شدهاند و همچنان توسط مهاجمان مورد سوءاستفاده قرار میگیرند. تعداد آسیبپذیریهای مرتبط نیز در دو سال گذشته ثابت مانده است.
علاوه بر این، در نمودار سال ۲۰۲۴ برخی آسیبپذیریهای دیگر که کمتر رایج اما به همان اندازه حیاتی هستند، را می توان مشاهده کرد:
- CWE-416: سوءاستفاده از حافظه پویا (Use After Free)
- CWE-22: مدیریت نامناسب مسیرهای فایل (Path Traversal)
- CWE-94: مدیریت نامناسب تولید کد (Code Injection)
- CWE-502: عدم اعتبارسنجی دادههای دریافتی (Deserialization of Untrusted Data)
- CWE-843: مدیریت نادرست انواع دادهها (Type Confusion)
- CWE-79: بی اثرسازی نامناسب ورودی هنگام بالا آمدن وب سایت (Cross-site Scripting)
- CWE-122: سرریز بافر مبتنی بر هیپ (Heap)
در مقایسه با ۲۰۲۳، آسیبپذیری CWE-119 (اجرای عملیات خارج از محدوده بافر) از فهرست ۱۰ مورد برتر خارج شد؛ اما نوع مشابه آن یعنی CWE-122 جایگزین شد. این موضوع نشان میدهد که نقصهای مرتبط با خرابی حافظه همچنان تهدیدی پایدار در دنیای امنیت سایبری هستند. همچنین آسیب پذیری های قابل بهره برداری موجود در نرم افزار در دو سال اخیر تغییر چندانی نکرده اند.
آمار بهرهبرداری از آسیبپذیریها
در این بخش آماری در مورد اکسپلویتها در سه ماهه چهارم ۲۰۲۴ ارائه شده است. این دادهها از منابع باز و تله متری کسپرسکی بدست آمده است.
اکسپلویتهای ویندوز و لینوکس
در میان اکسپلویتهای شناساییشده توسط راهکارهای امنیتی کسپرسکی در ویندوز، موارد زیر در تمام سال ۲۰۲۴، از جمله سهماهه چهارم، بیشترین استفاده را داشتند:
- CVE-2018-0802: اجرای کد از راه دور در ویرایشگر معادله (Equation Editor) مایکروسافت آفیس.
- CVE-2017-11882: آسیبپذیری دیگری در ویرایشگر معادله که منجر به اجرای کد از راه دور میشود.
- CVE-2017-0199: آسیبپذیری در مایکروسافت آفیس و WordPad که امکان کنترل کامل سیستم را به مهاجم میدهد.
در ادامه، آسیبپذیریهای رایج در WinRAR و برخی زیرسیستم های ویندوز در سهماهه چهارم شامل موارد زیر بودند:
- CVE-2023-38831: آسیبپذیری در WinRAR که به دلیل مدیریت نادرست اشیاء درون آرشیو رخ میدهد.
- CVE-2024-38100: آسیبپذیری معروف به Leaked Wallpaper که امکان استخراج هش NetNTLM را فراهم میکند. این هش در پروتکل های احراز هویت کاربر استفاده می شود.
- CVE-2024-21447: نقص در مدیریت لینکهای فایل که میتواند منجر به افزایش سطح دسترسی در سرویس Windows UserManager شود.
- CVE-2024-28916: مشابه CVE-2024-21447، اما در سرویس Xbox Gaming وجود دارد.
هر کدام از آسیب پذیری های بالا موجب افزایش سطح دسترسی تا بیشترین حالت ممکن می شود. توصیه می شود نرم افزار های مربوطه را مداوم به روز رسانی کنید.
در لینوکس نیز محصولات کسپرسکی، حملاتی را روی این آسیبپذیریها شناسایی کردند:
- CVE-2024-1086: نقص در مدیریت منابع در کامپوننت nf_tables کرنل لینوکس که موجب افزایش سطح دسترسی میشود.
- CVE-2024-0582: نشت حافظه در کامپوننت io_uring که امکان ارتقای سطح دسترسی را فراهم میکند.
- CVE-2022-0847: آسیبپذیری Dirty Pipe که امکان تصاحب کنترل برنامههای در حال اجرا را میدهد.
- CVE-2022-34918: نقص در مدیریت اشیای مرتبط با کامپوننت netfilter که منجر به افزایش سطح دسترسی میشود.
در مورد سیستم عامل لینوکس، نکته قابل توجه این است که کامپوننت های کرنل این سیستم و نرم افزار های نصب شده را به روز نگه دارید.
اکسپلویتهای رایج منتشر شده
در سهماهه چهارم 2024، سیستمعاملها همچنان محبوبترین دسته نرمافزار از نظر تعداد اکسپلویتهای فعال منتشرشده بودند. در همین زمان، سهم اکسپلویتهای هدفمند علیه ابزارهای Microsoft Office کاهش یافت و هیچ اکسپلویتی برای آسیبپذیریهای SharePoint منتشر نشد.
سوءاستفاده از آسیبپذیریها در حملات APT
کسپرسکی بر اساس دادههای خود تحلیل و بررسی کرده است که کدام یک از آسیب پذیریها اغلب توسط APTها (حملات پیشرفته) در سه ماهه چهارم ۲۰۲۴ مورد استفاده قرار گرفتهاند.
دادههای سال 2024 نشان میدهد که روند کلی حملات به سیستمعاملها همچنان رو به رشد است و به طور فزایندهای سایر دستههای نرمافزار را کنار میزند. محققان و مهاجمان در حال کشف اجزای جدیدی از سیستمعاملها هستند که همچنان دارای آسیبپذیریهای قابل اکسپلویت بالقوهاند.
تحلیلهای کسپرسکی نشان میدهد که در سهماهه چهارم ۲۰۲۴، تغییراتی در نرمافزارهایی که مورد هدف حملات پیشرفته قرار گرفتهاند، رخ داده است. برنامههای مایکروسافت آفیس، که در سال ۲۰۲۳ کمتر هدف بودند، بار دیگر به لیست ۱۰ نرمافزار آسیبپذیر اضافه شدند. همچنین، برای اولین بار، آسیبپذیریهایی در PAN-OS شناسایی شد. علاوه بر این، راهکارهای دسترسی از راه دور و سیستمهای پردازش دادههای سازمانی بار دیگر در لیست اهداف قرار گرفتند. این روند نشاندهنده مشکل تأخیر در پچ های امنیتی است که مهاجمان از آن سوءاستفاده میکنند.
آسیبپذیریهای جالب
در این بخش اطلاعاتی در مورد آسیب پذیریهای جالب که در سه ماهه چهارم ۲۰۲۴ ثبت شده، ارائه شده است.
CVE-2024-43572: آسیبپذیری اجرای کد از راه دور در کنسول مدیریت مایکروسافت
سیستمعامل ویندوز دارای ویژگیها و مکانیزمهای متعددی است که به کاربران اجازه میدهد آن را متناسب با نیازهای خود شخصی سازی کنند. یکی از این ویژگیها، کنسول مدیریت مایکروسافت (MMC مخفف Microsoft Management Console) است که بهعنوان یک رابط کاربری برای اجرای برنامههایی با ساختار دادهای مشخص عمل میکند. این برنامهها که به آنها Snap-in گفته میشود، امکان مدیریت و تنظیمات مختلف را برای کاربران و مدیران سیستم فراهم میکنند.
ویندوز ابزارهای داخلی متعددی برای کار با MMC ارائه میدهد که یکی از آنها services.msc است. این ابزار یک رابط گرافیکی برای مدیریت سرویسهای سیستم است و بر اساس یک فایل XML کار میکند که با اشیای COM تعامل دارد و امکان تنظیم پارامتر در کنسول مدیریت را فراهم میسازد.
طبق مستندات مایکروسافت، فایلهایی با پسوند .msc برای مدیریت سیستم استفاده میشوند. مهاجمان از این قابلیت سوءاستفاده کرده و از طریق این فایلها دستورات مخرب را روی سیستم قربانی اجرا کردهاند. در داخل این فایلها، آنها یک URI با فرمت urn:schemas-microsoft-com:xslt به همراه دستورات JavaScript و VBScript وارد کردهاند. این فایلهای آلوده از طریق پیوستهای ایمیلی توزیع شدهاند.
CVE-2024-43451: آسیبپذیری افشای هش NetNTLM
این آسیبپذیری نیز به یکی از قابلیتهای سیستمعامل ویندوز مربوط میشود، بهویژه به مکانیزم احراز هویت NTLM که از طریق رابط SSPI در تمامی نسخههای ویندوز تا ویندوز ۱۰ بهصورت خودکار اجرا میشود. در هنگام انتقال هش NetNTLM، مهاجم میتواند آن را رهگیری کرده یا به سرویسی دیگر هدایت کند، که این امر به افشای اطلاعات ورود به سیستم قربانی منجر میشود.
در سناریوهای رایج و قانونی ویندوز، کاربران معمولاً نیاز به احراز هویت از طریق پروتکل NTLM دارند، موضوعی که میتواند مهاجمان را به سوءاستفاده از آن ترغیب کند. در سال ۲۰۲۴، ما شاهد افزایش استفاده مهاجمان از فایلهایی با پسوند .url در حملات بودیم؛ این فایلها شامل لینکهایی به منابعی بودند که مکانیزم احراز هویت NTLM را بهطور خودکار فعال میکردند و اطلاعات ورود کاربران را در معرض خطر قرار میدادند.
CVE-2024-49039: آسیبپذیری افزایش سطح دسترسی در Windows Task Scheduler
گزارشهای سال ۲۰۲۴ کسپرسکی عمدتاً شامل آسیبپذیریهایی بودند که فقط برای افزایش سطح دسترسی یا فقط برای دسترسی اولیه به سیستم مورد استفاده قرار میگرفتند؛ اما CVE-2024-49039 از این نظر متفاوت است که نهتنها امکان افزایش سطح دسترسی را فراهم میکند، بلکه به مهاجم اجازه میدهد بهصورت مخفیانه در سیستم باقی بماند و دستورات مخرب را اجرا کند.
این آسیبپذیری از یک اندپوینت مستندنشده در پروتکل RPC در سمت سرور بهرهبرداری میکند. این اندپوینت شامل رابطهایی با تنظیمات امنیتی نادرست است که به مهاجم اجازه میدهد سطح دسترسی خود را افزایش دهد.
در نسخههای اخیر ویندوز، هنگام ثبت یک تسک زمانبندی شده (Scheduled Task)، برنامهها معمولاً در محیط AppContainer اجرا میشوند که بهطور کلی سطح دسترسی آنها را محدود میکند؛ اما برای سوءاستفاده از این آسیبپذیری، مهاجم میتواند یک تسک زمانبندیشده ایجاد کند که در زمان اجرا، اندپوینت مستندنشده RPC را فراخوانی کند. از آنجایی که Task Scheduler شامل یک الگوریتم آسیبپذیر در اجرای برنامهها است، این درخواست باعث اجرای مجدد برنامه بدون محیط AppContainer و با سطح دسترسی کاربر عادی یا حتی کاربر سیستم(System User) میشود.
جمعبندی و توصیهها
در سهماهه چهارم ۲۰۲۴، تعداد آسیبپذیریهای ثبتشده نسبت به ۲۰۲۳ افزایش داشت؛ اما تعداد اکسپلویتهای منتشرشده کاهش یافت. این مسئله احتمالاً به دلیل عدم انتشار بهموقع پچ های امنیتی از سوی فروشندگان نرمافزار، خصوصاً در دوره تعطیلات، بوده است. همچنین، مهاجمان روشهای جدیدی برای افزایش سطح دسترسی یافتهاند، مانند آسیبپذیری های مربوط به Task Scheduler.
برای محافظت از سیستمهای خود راهکار های زیر را دنبال کنید:
- نظارت مستمر بر زیرساختها را حفظ کنید و به ویژه بر محیطهای بیرونی توجه ویژهای داشته باشید.
- فرایند مدیریت پچ ها را رعایت کنید و بهروزرسانیهای امنیتی را بهسرعت اعمال کنید.
- از راهکارهای امنیتی قابل اعتماد برای تشخیص و مسدودسازی بدافزارها استفاده کنید، از جمله ابزارهایی که سناریوهای واکنش به حوادث و پایگاههای داده به روز تهدیدات سایبری را در بر میگیرند.
