اكتشاف ثغرة خطيرة في Windows Defender-لم يتم ملاحظته لمدة 12 عامًا

الصفحة الرئيسية

 Microsoft تزيل ثغرة أمنية عمرها 12 عامًا في Defender







تم التعرف على ثغرة خطيرة في برنامج مكافحة الفيروسات Defender ، وهو البرنامج الأساسي لنظام التشغيل Windows ، والذي لم يلاحظه كل من الباحثين في مجال الأمن السيبراني ومجرمي الإنترنت على مدار الـ 12 عامًا الماضية. بالنظر إلى أن جمهور Defender يبلغ حوالي نصف مليار شخص حول العالم ، فإن احتمالية وقوع هجوم ضار باستخدام هذه الثغرة الأمنية تعتبر عالية جدًا.


اكتشفت شركة أمن المعلومات SentinelOne ثغرة أمنية في برنامج مكافحة الفيروسات لـ Windows Defender ظلت دون أن يلاحظها أحد لمدة 12 عامًا ، وفقًا لتقارير بوابة ArsTechnica.

Windows Defender ، الذي أعيدت تسميته إلى Microsoft Defender العام الماضي ، هو برنامج مضمن لنظام التشغيل Windows مصمم لمعالجة التهديدات الأمنية. تكمن الثغرة الأمنية ، التي يطلق عليها اسم CVE-2021-24092 ، في برنامج تشغيل BTR.sys. إنه يؤثر على إصدارات مكافحة الفيروسات منذ عام 2009.

وفقًا للباحثين الذين حددوا الثغرة الأمنية ، فإن برنامج التشغيل أعلاه يزيل الملفات الضارة ، ويستبدلها بأخرى جيدة في عملية القضاء على التهديد. ومع ذلك ، لا يتحقق النظام من هذا الملف الجديد الذي تم إنشاؤه كبديل. 

نتيجة لذلك ، يمكن لمجرم الإنترنت استخدام هذا الخطأ لإجبار المتحكم على الكتابة فوق أي ملف ، أو حتى تشغيل تعليمات برمجية ضارة على النظام ، والحصول على حقوق المسؤول.

علاوة على ذلك ، سيكون حجم مثل هذا الهجوم هائلاً حقًا ، نظرًا لأن Microsoft Defender جزء من Windows افتراضيًا - وفقًا للشركة ، يتم تثبيته على 500000 جهاز حول العالم.


وتجدر الإشارة إلى أن SentinelOne حددت الثغرة الأمنية مرة أخرى في نوفمبر 2020 ، لكن مايكروسوفت أصدرت التصحيح في أوائل فبراير فقط. من المعروف أن التحديث لا يتطلب مشاركة المستخدم ، ما لم يتم تعطيل التحديثات تلقائيًا في نظام التشغيل الخاص به.

 في هذه الحالة ، يوصى ببدء عملية تثبيت التصحيح على الفور لحمايتها من أي إساءة استخدام محتملة.


يجادل كل من SentinelOne ومايكروسوفت بأنه لا يوجد دليل على أن أي شخص قد استغل هذه الثغرة الأمنية - فهناك احتمال أن تظل غير معروفة لمدة 12 عامًا ليس فقط "للأمان" ولكن أيضًا للمتسللين.

 ومع ذلك ، بعد أن ظهرت المعلومات المتعلقة به في الصحافة ، هناك احتمال أن مجرمي الإنترنت سيحاولون بنشاط معرفة كيفية استخدامها. إذا تذكرنا هجوم فيروس WannaCry لعام 2017 ، والذي أصبح ممكنًا بسبب تجاهل الأفراد والمؤسسات لتحديثات نظام التشغيل الأخيرة ، فإن مثل هذا السيناريو ممكن تمامًا.

يوضح  أن الثغرة الأمنية التي تم تحديدها تظهر بوضوح أهمية تحليل أمان منتجات البرمجيات قبل مرحلة النشر.

"نظرًا لقابلية الاستخدام المحدودة (تتم إزالة برنامج التشغيل المخترق عندما يكون Windows Defender غير نشط) ، لم يتم استخدام الثغرة الأمنية على نطاق واسع ، ولكن لم يعد بالإمكان 

وقال الخبراء إن مخاطر استغلاله عالية جدًا ، نظرًا لأن العديد من أجهزة الكمبيوتر الخاصة بالمستخدمين تستخدم أنظمة تشغيل قديمة حتى بعد انتهاء فترة دعم المنتج.



"عندما يتعلق الأمر باكتشاف ثغرة أمنية في برنامج تشغيل Windows Defender ، فليس هناك ما يضمن أن خبراء SentinelOne في كاليفورنيا كانوا بالفعل أول من اكتشف الخطأ. كانوا أول من أبلغ عنها. 

قال ، المدير الفني لـ ESET في روسيا ورابطة الدول المستقلة ، إنني لا أستبعد إمكانية استغلال الثغرة الأمنية لفترة طويلة من قبل مجرمي الإنترنت ، ولكن ليس على نطاق واسع ، ولكن بشكل دقيق - على أجهزة الكمبيوتر ومحطات العمل المحمية بواسطة Windows Defender .


ووفقًا له ، فإن نقاط الضعف الخفية الدائمة هي أمر شائع إلى حد ما بالنسبة للبرامج المختلفة. يمنع رمز الملكية لأنظمة التشغيل مثل Windows مطوري البرامج من الفحص العميق لجميع الأخطاء المحتملة في كتابة البرامج. 


لذلك ، تظهر ثغرات يوم الصفر في كثير من الأحيان في أي مصنع ، كما يقول إنه يتعين على مسؤولي تكنولوجيا المعلومات تثبيت تحديثات أمان Windows على الفور وعدم انتظار شخص ما لمحاولة الاستفادة من تقارير الأخطاء المنشورة.




"لسوء الحظ ، لا يمكننا التنبؤ بهذا. يجب على جميع مستخدمي Windows التحديث إلى أحدث إصدار من البرنامج ، والذي سيحتوي على تصحيح جديد لمنع استغلال هذه الثغرة الأمنية ، 


 إن بعض ثغرات البرامج لا يتم ملاحظتها لمدة عشر سنوات أو أكثر ، وهناك العديد من الأسباب المحتملة لمثل هذه الإغفالات.



"معظم البرامج الموزعة اليوم معقدة للغاية (تحتوي نواة Linux على حوالي 28 مليون سطر من التعليمات البرمجية) وقد تمت صيانتها لسنوات أو حتى عقود من خلال أيدي مطورين مختلفين. يمكن أن يكون الأمر صعبًا للمبرمجين - لا تزال العديد من لغات البرمجة تتعامل مع عمليات غير آمنة للذاكرة - وهذا هو الخطأ المحتمل الآخر الذي يجب على المبرمج الحذر منه.

بالنسبة لبعض البرامج ، تصبح هذه العملية أكثر تعقيدًا - على سبيل المثال ، بالنسبة لأمثال Windows Defender ، التي لا تكشف عن شفرة المصدر الخاصة بها. استنتج أن عددًا محدودًا فقط من الأشخاص الذين يمكنهم العثور على مثل هذه الثغرات الأمنية لديهم حق الوصول إلى الكود المصدري ، بينما يتعين على البقية إجراء هندسة عكسية للمنتج  - عندما تقوم بحقن بيانات عشوائية / غير متوقعة في البرنامج ، على أمل تعطيله.







google-playkhamsatmostaqltradent