كشف فريق Google Project Zero عن تفاصيل ثغرة أمنية من نوع Zero-Day في واجهة برمجة تطبيقات Windows Print Spooler، يمكن لمهاجم استغلالها لتنفيذ تعليمات برمجية تعسفية.
وجاء الإعلان عن تفاصيل الخلل بعد أن أخفقت Microsoft في إصدار إصلاح له خلال مهلة الـ90 يومًا المحددة لعملية الإفصاح المسؤول، والتي بدأت في 24 سبتمبر.
وتُعرف الثغرة بالرمز CVE-2020-0986، وهي عبارة عن خلل يسمح بترقية الامتيازات عبر استغلال مكون GDI Printing/Print Spooler API (ملف splwow64.exe). وقد تم الإبلاغ عنها إلى مايكروسوفت في أواخر ديسمبر 2019 من قبل باحث مجهول بالتعاون مع مبادرة Trend Micro Zero Day Initiative (ZDI).
بعد مرور ستة أشهر دون صدور أي إصلاح، لجأت مبادرة ZDI في 19 مايو من العام الجاري إلى نشر استشارة علنية، معلنةً الثغرة كـ Zero-Day. وسرعان ما جرى استغلالها ميدانيًا في حملة أُطلق عليها اسم “عملية Powerfall”، استهدفت شركة كورية جنوبية لم يُكشف عن هويتها.
ويُعد SPLWow64.exe أحد الملفات الأساسية في نظام Windows، ويعمل كجسر يتيح لتطبيقات 32 بت التواصل مع خدمة التخزين المؤقت للطابعة بنظام 64 بت على أجهزة Windows ذات البنية 64 بت. ويعتمد هذا المكون على آلية استدعاء إجراء محلي (LPC) يمكن للعمليات الأخرى استخدامها للوصول إلى وظائف الطباعة.
حذّر خبراء الأمن السيبراني من أن الاستغلال الناجح لثغرة أمنية في نظام Windows قد يمكّن المهاجم من معالجة عملية SPLWOW64.exe، ما يتيح له تنفيذ تعليمات برمجية تعسفية على مستوى kernel، وبالتالي تثبيت برمجيات خبيثة، أو عرض البيانات وتعديلها أو حذفها، أو حتى إنشاء حسابات جديدة تتمتع بكامل صلاحيات المستخدم.
وأوضح الخبراء أن تنفيذ هذا الهجوم يتطلب من المهاجم تسجيل الدخول أولًا إلى النظام المستهدف.
وعلى الرغم من أن Microsoft عالجت الثغرة ضمن تحديثات Patch Tuesday لشهر يونيو، إلا أن فريق أمان Google كشف أن الإصلاح لم يكن كاملًا، حيث لا تزال الثغرة قائمة، لكن مع تغيّر طريقة استغلالها.
“في تطور جديد على صعيد الثغرات الأمنية، كشف الباحث الأمني “ستون” عن تفاصيل خلل برمجي في نظام Windows، يتمثل في مؤشر تعسفي سمح للمهاجمين بالتحكم في مؤشرات SRC وDERES ضمن وظيفة memcpy. وأوضح أن “الإصلاح” الذي طُبق سابقًا اقتصر على تحويل المؤشرات إلى تعويضات، لكنه ترك الباب مفتوحًا أمام إمكانية التحكم في معاملات الوظيفة ذاتها، مما يبقي على خطر الاستغلال قائمًا.
ويُتوقع أن تعالج مايكروسوفت ثغرة تصعيد الامتياز، المسجلة تحت الرمز CVE-2020-17008، في 12 يناير 2021، وذلك بعد تأجيل الإصلاح الموعود في نوفمبر بسبب “مشكلات محددة في الاختبار”.
كما شارك “ستون” رمز استغلال إثبات المفهوم (POC) الخاص بالثغرة، والمبني على نموذج أصدرته شركة Kaspersky لثغرة سابقة تحمل الرمز CVE-2010-0986.
وأشار الباحث إلى أن عام 2020 شهد العديد من حالات استغلال ثغرات Zero-Day التي تم إصلاحها بشكل غير كامل، مؤكدًا أن “الإصلاحات الجزئية تتيح للمهاجمين إعادة توظيف معرفتهم السابقة بنقاط الضعف، واستغلالها لتطوير هجمات جديدة بسهولة”.
