يستغل المتسللون ثغرة غير معروفة سابقًا في نظام التشغيل Windows ، ولكن من غير المحتمل أن تقوم Microsoft بإصلاحه حتى منتصف الشهر المقبل. تؤثر الثغرة الأمنية على نظام التشغيل Windows 7 حتى Windows 10.
لذلك يقول الباحثون في Project Zero من Google ، الذين كشفوا أيضًا أن استغلال Windows هو مجرد الخطوة الثانية في اللكمة الثنائية التي يستخدمها المهاجمون عن بعد للسيطرة على أجهزة الكمبيوتر. تتمثل الخطوة الأولى في وجود عيب في Chrome تم الكشف عنه (وتصحيحه) الأسبوع الماضي .
"نتوقع حاليًا أن يتوفر تصحيح لهذه المشكلة [Microsoft] في 10 نوفمبر" ، أو يوم الثلاثاء التالي من Microsoft Patch ، على تويتر ، بن هوكس ، المسؤول التقني في Project Zero. "لقد أكدنا مع مدير مجموعة تحليل التهديدات في Google ، شين هنتلي (ShaneHuntley) ، أن هذا استغلال مستهدف ولا علاقة له بأي استهداف متعلق بالانتخابات الأمريكية."
يتطلب استغلال Windows وصولاً محليًا ، أي من قِبل شخص أو برنامج لديه بالفعل وصول إلى الجهاز ، لذا فهو بحد ذاته ليس تهديدًا مباشرًا.
لكن عيب Chrome الذي تم دمجه معه يمكن استغلاله عن بُعد ، مما يجعل الأمور أسوأ بكثير. يمكن لمرفق بريد إلكتروني أو موقع ويب ضار استخدام ثغرة Chrome للهروب من "وضع الحماية" في المتصفح ثم استخدام ثغرة Windows للسيطرة على الجهاز.
يعبث الاستغلال مع المدخلات العددية في برنامج تشغيل التشفير ، مما يسمح للمهاجم بالكتابة فوق بعض قطاعات الذاكرة وتشغيل الكود الخاص به.
نشر Mateusz Jurczyk و Sergei Glazunov من Project Zero كود إثبات المفهوم الذي قد يتسبب في تعطل النظام على مدونة Project Zero الرسمية ، ولكن يبدو أن المزيد من النتائج الشائنة ممكنة.
"تلتزم Microsoft بالتزام العميل بالتحقيق في مشكلات الأمان المبلغ عنها وتحديث الأجهزة المتأثرة لحماية العملاء. بينما نعمل على الوفاء بالمواعيد النهائية لجميع الباحثين للإفصاح ، بما في ذلك المواعيد النهائية قصيرة الأجل كما في هذا السيناريو ، فإن تطوير التحديث الأمني هو توازن بين التوقيت المناسب والجودة ، وهدفنا النهائي هو المساعدة في ضمان أقصى قدر من الحماية للعملاء مع الحد الأدنى من إزعاج العملاء. "
حتى تصدر Microsoft تصحيحًا ، فإن أفضل طريقة لحماية نفسك من عيب Windows هذا ، من المفارقات ، تحديث Chrome و Edge و Brave و Opera و Vivaldi والمتصفحات الأخرى المستندة إلى Chromium إلى أحدث إصدار.
في Chrome والعديد من المتصفحات الأخرى ، ما عليك سوى النقر فوق رمز الإعدادات في الجزء العلوي الأيمن من نافذة المتصفح - سيبدو مثل ثلاثة أسطر أو ثلاث نقاط - ثم قم بالتمرير لأسفل إلى "تعليمات" أو "حول".
بمجرد العثور على حول ، انقر فوق ذلك ، وسيتم فتح علامة تبويب جديدة ستتحقق تلقائيًا من وجود تحديث. إذا كان أحدها متاحًا ، فسيقوم المتصفح بتنزيل التحديث ويطالبك بإعادة التشغيل.
أحدث إصدار من Brave and Chrome هو 86.0.4240.111. في Edge ، تبلغ القيمة 86.0.622.58. (يتضمن الأخير إصلاح أمان Chromium ، وفقًا لإرشادات أمان Microsoft .)
ستحتاج أيضًا إلى تشغيل بعض من أفضل برامج مكافحة الفيروسات . حتى الآن ، تم استخدام هذين العيبين في هجمات مستهدفة ضد أفراد أو منظمات مختارة ، على الأرجح من قبل مهاجمي الدولة القومية أو الجماعات الإجرامية الممولة تمويلًا جيدًا.
ولكن الآن بعد أن تم الكشف عن السر ، من الممكن أن يقوم مشغلو البرامج الضارة بدمج استغلال Windows هذا في أكياس الحيل الخاصة بهم. إذا تمكنوا من الحصول على البرامج الضارة على جهازك بوسائل أخرى ، فلن يحتاجوا إلى استخدام اختراق Chrome.
فلماذا كشفت Google عن ثغرة أمنية من المحتمل ألا يتم إصلاحها حتى يوم الثلاثاء من نوفمبر / تشرين الثاني ، وأظهرت ثغرة فيها؟ كل هذا جزء من سياسة Google الصارمة فيما يتعلق بالعيوب التي يتم استغلالها بنشاط.
"لدينا دليل على أن الخطأ التالي يتم استخدامه في البرية" ، يقرأ إخلاء المسؤولية في الجزء العلوي ، وكذلك في الجزء السفلي ، من منشور Project Zero. "لذلك ، يخضع هذا الخطأ لمهلة 7 أيام للإفصاح".
بمعنى آخر ، تشير Google إلى أنه تم إخبار Microsoft بهذا الخلل في 22 أكتوبر ، وهو نفس اليوم الذي تم فيه كتابة منشور مدونة Project Zero. (تم الاحتفاظ بنشر المدونة خاصًا حتى ظهر اليوم بالتوقيت الشرقي ، 30 أكتوبر).
الآن وقد انتهت الأيام السبعة ، وفقًا لمنطق Google ، يجب أن يعرف العالم حتى يتمكن مستخدمو Windows من حماية أنفسهم بشكل مناسب.
لا تتوافق هذه الشفافية دائمًا مع الشركات التي يتم الكشف عن غسيلها المتسخ. اشتكت Microsoft من قبل ، وعلى الأخص في عام 2015 عندما كشفت Google عن ثغرات أمنية في نظام التشغيل Windows قبل يومين من الموعد المقرر لإصلاحها.
في العام الماضي ، انتقدت شركة آبل شركة Google لتفصيلها نصف دزينة من العيوب في نظام التشغيل iOS التي استخدمتها السلطات الصينية لسنوات للتجسس على أجهزة iPhone الخاصة بالأقليات العرقية. لا تهتم بأن Google قد انتظرت ستة أشهر حتى بعد أن أصلحت شركة Apple الأمور لتُعلن.
