عوامل تهدید مشاهده شده اند که از یک آسیب پذیری افزایش امتیاز در سرویس پشتیبان گیری و بازیابی ویندوز سوء استفاده می کنند.
محققان امنیتی در CloudSEK نوشتند: «[…] CVE-2023-21752 یک آسیبپذیری است که به کاربر اصلی اجازه میدهد تا کد دلخواه را روی یک میزبان اجرا کند تا فایلها را از [یک] مسیر ذخیرهسازی مشخص شده، از سرویس پشتیبانگیری و بازیابی ویندوز حذف کند». . “این عمل فقط توسط کاربران ممتاز قابل انجام است.”
علاوه بر این، این اکسپلویت میتواند برای افزایش امتیاز در یک میزبان از کاربر اصلی به کاربر سیستم مورد استفاده قرار گیرد، بنابراین امکان تصاحب حسابها فراهم میشود.
در مشاوره CloudSEK آمده است: “این آسیب پذیری با استفاده از Race Condition بین ایجاد و حذف موقت فایل ایجاد می شود، که پس از فرآیند احراز هویت انجام می شود.”
میزبانهای ویندوزی که از نصبهای وصله نامنظم پیروی میکنند، در معرض خطر قرار میگیرند، و عوامل تهدید به طور بالقوه از این اکسپلویت در طبیعت استفاده میکنند. شرط اصلی داشتن یک حساب محلی در سیستم هدف است.
این آسیب پذیری با شدت بالا دارای امتیاز پایه CVSS 7.1 است و نسخه های سیستم عامل ویندوز 7، 10 و 11 را تحت تاثیر قرار می دهد. این وصله توسط مایکروسافت در اولین وصله سه شنبه 2023 انجام شد. 0patch نیز در 31 ژانویه اصلاح متفاوتی را برای این نقص منتشر کرد.
محققان امنیتی نوشتند: “پچ میکرو ما از نظر منطقی مشابه مایکروسافت است، اما برای به حداقل رساندن پیچیدگی و اندازه کد آن، نامگذاری ساده تری برای فایل موقت انتخاب کردیم.” “این برای تطبیق چندین فرآیند پشتیبان گیری با استفاده از یک مسیر به طور همزمان است که بعید است اما غیرممکن نیست.”
در بازگشت به مشاوره CloudSEK، این شرکت گفت که هکرهای تهدید را مشاهده کرده است که در یک انجمن جرایم سایبری روسی زبان و در کانالهای تلگرام درباره آسیبپذیری بحث میکنند.
در پست تلگرامی که توسط CloudSEK دیده شده و به اشتراک گذاشته شده است، آمده است: «یک آسیب پذیری کاملاً جدید در 10 ژانویه در سرویس پشتیبان گیری ویندوز پیدا شد. این آسیبپذیری افزایش امتیازات از سطح کاربر به [تشدید امتیاز محلی] را آسان میکند.»
توصیههای این شرکت چند روز پس از آن است که مایکروسافت اعلام کرد وصلههایی را برای بیش از 70 CVE در این ماه منتشر میکند که شامل سه روز صفر میشود.
