سوءاستفاده از یک رخنه اصلاح نشده در XP
مهاجمان از یک آسیبپذیری جدید و اصلاح نشده در ویندوز XP و سرور 2003 سوء استفاده میکنند تا بتوانند کدهای دلخواه را با بالاترین حق دسترسی اجرا کنند؛ این آسیبپذیری در NDProxy.sys قرار دارد.
شرکت مایکروسافت در راهنمایی امنیتی که روز چهارشنبه منتشر کرد اعلام کرد که مهاجمی که بتواند با موفقیت از این آسیبپذیری سوء استفاده کند میتواند کد دلخواه را در حالت هسته اجرا کند. سپس می تواند برنامههای دلخواه را نصب کرده و دادهها را تغییر دهد و مشاهده کرده یا حذف کند و هم چنین می تواند یک حساب کاربری جدید با حقوق کامل مدیریتی ایجاد کند.
این رخنه یک آسیب پذیری اجرای کد از راه دور نیست بلکه یک آسیب پذیری Eop یا گرفتن بالاترین حق دسترسی است.
با توجه به گزارشات مایکروسافت، در حال حاضر از این آسیبپذیری در حملات هدفمند و محدود استفاده میشود و نسخههای جدیدتر از ویندوز XP و سرور 2003 تحت تاثیر این آسیب پذیری قرار ندارند.
شرکت مایکروسافت یک راه حل موقت را ارائه کرده است که شامل غیرفعال ساختن NDProxy.sys است اما این مساله باعث می شود تا خدمات خاصی که وابسته به TAPI هستند مانند سرویس دسترسی راه دور، تلفن شبکهای و شبکه خصوصی مجازی کار نکنند.
بنا بر اعلام مرکز ماهر، مهاجمان با سوء استفاده از این آسیب پذیری، کامپیوترهایی را مورد هدف قرار می دهند که در حال اجرای Adobe Reader بر روی ویندوز XP بسته سرویس 3 هستند اما کاربرانی که از آخرین نسخههای Adobe Reader استفاده میکنند در امان هستند.
با توجه به یافتههای محققان FireEye، اگر سوء استفاده با موفقیت انجام گیرد، فایل اجرایی در دایرکتوری موقت ویندوز کپی شده و اجرا می شود.