مایکروسافت نسبت به افزایش روزافزون ملت‌ها و بازیگران جنایتکار هشدار می‌دهد که به‌طور فزاینده‌ای از آسیب‌پذیری‌های روز صفر افشاشده عمومی برای نفوذ به محیط‌های هدف استفاده می‌کنند.

این غول فناوری در گزارش ۱۱۴ صفحه‌ای دفاع دیجیتال[۱] خود، گفت که “کاهش زمان بین اعلام آسیب‌پذیری و تجاری شدن آن آسیب‌پذیری را مشاهده کرده است، و این امر ضروری است که سازمان‌ها چنین بهره‌بردارهایی را به‌موقع اصلاح کنند.

این همچنین با گزارش آوریل ۲۰۲۲ آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) تأیید می‌کند که نشان می‌دهد بازیگران بد به‌طور “تهاجمی” باگ‌های نرم‌افزاری جدید افشاشده[۲] را علیه اهداف گسترده در سطح جهانی هدف قرار می‌دهند.

مایکروسافت خاطرنشان کرد که پس از افشای عمومی یک نقص، به‌طور متوسط ​​۱۴ روز طول می‌کشد تا یک بهره‌بردار در سطح اینترنت در دسترس قرار گیرد، و اظهار داشت که اگرچه حملات روز صفر در ابتدا دامنه محدودی دارند، اما تمایل دارند به‌سرعت توسط سایر عوامل تهدید پذیرفته شوند و منجر به رویدادهای کاوشگر بی‌رویه قبل از نصب وصله‌ها می‌شود.

این سازمان همچنین گروه‌های تحت حمایت دولت چین را متهم کرد که در کشف و توسعه بهره‌برداری‌های روز صفر “به‌ویژه مهارت دارند”.

روز صفر

این امر با این واقعیت تشدید شده است که اداره فضای سایبری چین (CAC) یک مقررات جدید[۳] گزارش آسیب‌پذیری را در سپتامبر ۲۰۲۱ وضع کرد که طبق آن باید نقص‌های امنیتی قبل از به اشتراک گذاشتن با توسعه‌دهندگان محصول به دولت گزارش شود.

Redmond همچنین گفت که این قانون می‌تواند عناصر تحت حمایت دولت را قادر سازد تا باگ‌های گزارش‌شده را انباشته و مسلح کنند و درنتیجه استفاده از آسیب‌پذیری روز صفر برای فعالیت‌های جاسوسی که برای پیشبرد منافع اقتصادی و نظامی چین طراحی‌شده‌اند، افزایش یابد.

برخی از آسیب‌پذیری‌هایی که برای اولین بار توسط بازیگران چینی مورد بهره‌برداری قرار گرفتند، قبل از اینکه توسط گروه‌های متخاصم دیگر مورداستفاده قرار گیرند عبارت‌اند از:

CVE-2021-35211 (امتیاز CVSS: 10.0) – یک نقص اجرای کد از راه دور در سرور انتقال فایل مدیریت‌شده SolarWinds Serv-U و نرم‌افزار Serv-U Secure FTP که توسط DEV-0322 مورد بهره‌برداری قرار گرفته است.

CVE-2021-40539 (امتیاز ۸/۹ در مقیاس CVSS) – یک نقص دور زدن احراز هویت در Zoho ManageEngine ADSelfService Plus که توسط DEV-0322 (TiltedTemple) مورد بهره‌برداری قرار گرفت.

CVE-2021-44077 (امتیاز ۸/۹ در مقیاس CVSS) – یک نقص اجرای کد از راه دور تأیید نشده در Zoho ManageEngine ServiceDesk Plus که توسط DEV-0322 (TiltedTemple) مورد بهره‌برداری قرار گرفت.

CVE-2021-42321 (امتیاز ۸/۸ در مقیاس CVSS) – یک نقص اجرای کد از راه دور در سرورMicrosoft Exchange که سه روز پس از فاش شدن در مسابقه هک Tianfu Cup در تاریخ ۱۶-۱۷ اکتبر ۲۰۲۱ مورد بهره‌برداری قرار گرفت[۴].

CVE-2022-26134 (امتیاز ۸/۹ در مقیاس CVSS) – یک نقص تزریق Object-Graph Navigation Language یا OGNL در Atlassian Confluence که احتمالاً توسط یک بازیگر وابسته به چین علیه یک نهاد آمریکایی ناشناس چند روز قبل از افشای نقص در دوم ژوئن مورداستفاده قرار گرفته است.

این یافته‌ها تقریباً یک ماه پس از انتشار فهرستی از آسیب‌پذیری‌های مهم[۵] توسط بازیگران مستقر در چین از سال ۲۰۲۰ برای سرقت مالکیت معنوی و توسعه دسترسی به شبکه‌های حساس، توسط CISA منتشر شد.

این شرکت گفت: «آسیب‌پذیری‌های روز صفر وسیله‌ای مؤثر برای بهره‌برداری اولیه هستند و پس از افشای عمومی، این آسیب‌پذیری‌ها می‌توانند به‌سرعت توسط دیگر دولت‌ها و بازیگران جنایتکار مجدداً استفاده شوند.»

 

منابع

[۱] https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022

[۲] https://thehackernews.com/2022/04/us-cybersecurity-agency-lists-2021s-top.html

[۳] https://thehackernews.com/2021/07/chinas-new-law-requires-researchers-to.html

[۴] https://thehackernews.com/2021/10/windows-10-linux-ios-chrome-and-many.html

[۵] https://www.cisa.gov/uscert/ncas/alerts/aa22-279a

[۶] https://thehackernews.com/2022/11/microsoft-warns-of-uptick-in-hackers.html