CISA تؤكد أن BlueHammer أصبحت الآن سلاحاً لبرامج الفدية

أكدت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) يوم الاثنين أن مجموعات برامج الفدية تجاوزت الهجمات الموجهة من نوع Zero-day وتقوم الآن باستغلال ثغرة BlueHammer على نطاق واسع، وهي ثغرة شديدة الخطورة تسمح برفع الصلاحيات في Microsoft Defender. يُعتبر هذا التحوّل من الاستغلال الموجّه إلى الاستغلال الواسع إشارةً حاسمة لأي مؤسسة تُشغّل أنظمة Windows، ويرفع بشكل كبير من أهمية تركيب التحديثات والدفاعات المتعددة الطبقات.

كانت BlueHammer قد لفتت الأنظار بالفعل في أوساط الأمن بعد أن أُسيء استخدامها في هجمات سابقة من نوع Zero-day. وتأكيد أن مشغّلي برامج الفدية يُدمجونها الآن في أدواتهم يُمثّل مرحلةً جديدة. فبمجرّد أن تنتقل ثغرة من هجمات التجسس الموجّهة أو الهجمات المنفردة إلى البنية التحتية لعصابات الفدية، يزداد التعرض بشكل كبير وتضيق بسرعة الفترة المتاحة للمؤسسات لحماية نفسها.

ما معنى رفع الصلاحيات في هجوم برامج الفدية

تُعتبر ثغرات رفع الصلاحيات ذات قيمة خاصة لمشغّلي برامج الفدية نظراً لموقعها في سلسلة الهجوم. فالوصول الأولي إلى الشبكة هو مجرد خطوة أولى. ولنشر برامج الفدية بفعالية عبر المؤسسة، يحتاج المهاجمون عادةً إلى صلاحيات مرتفعة تسمح لهم بالتحرك جانبياً، وتعطيل أدوات الأمان، والوصول إلى أنظمة النسخ الاحتياطي، وفي النهاية تشفير البيانات أو تسريبها على نطاق واسع.

تُعدّ ثغرة في Microsoft Defender بالغة الأهمية لأن Defender مُضمّن بعمق في نظام التشغيل Windows ويعمل بثقة مرتفعة. فإن استطاع المهاجم استغلال علاقة الثقة هذه، قد يتمكن من رفع صلاحياته من موطئ قدم محدود إلى سيطرة أوسع على النظام دون إطلاق أنواع التنبيهات التي قد يُصدرها برنامج خبيث مستقل.

هذه الديناميكية ليست فريدة من نوعها في BlueHammer. فعصابات الفدية تدمج بشكل روتيني عدة ثغرات، مستخدمةً واحدة للدخول وأخرى لرفع الصلاحيات والانتشار. إصابة 40,000 خادم عبر ثغرة cPanel نشطة تُوضّح مدى سرعة تحوّل الجهات المُهددة من الاكتشاف إلى الاستغلال الجماعي عندما تُوفّر الثغرة نفوذاً حقيقياً.

لماذا تستهدف عصابات الفدية Windows Defender تحديداً

وجود Microsoft Defender شبه الشامل على أجهزة Windows يجعله هدفاً جذاباً للخصوم. والمؤسسات التي تعتمد على Defender كطبقة حماية أولية أو وحيدة على الأجهزة الطرفية تكون عرضةً للخطر بشكل خاص عندما تتحول ثغرة في Defender إلى سلاح، لأن الأداة التي يُفترض أن تحميها ذاتها تصبح مساراً للهجوم.

هذا ليس حجة ضد استخدام Defender. إنه حجة لصالح مبدأ الدفاع المتعدد الطبقات: أي مبدأ عدم جعل أداة أمان واحدة الشيء الوحيد الذي يقف بين المهاجم وأنظمتك الحرجة. عندما تستغل عصابات الفدية الثغرة بالتحديد في برنامج الأمان لديك، يصبح وجود طبقات حماية مستقلة إضافية أكثر أهمية من أي وقت مضى.

ضوابط مستوى الشبكة هي إحدى هذه الطبقات. تقسيم الشبكات الداخلية، وفرض ضوابط وصول صارمة، ومراقبة التحركات الجانبية غير المعتادة يمكن أن تُبطئ أو توقف انتشار برامج الفدية حتى بعد اختراق أولي للجهاز الطرفي. الشبكات الافتراضية الخاصة (VPN)، عندما تُهيأ بشكل صحيح على شبكات الشركات، يمكن أن تُحدّ من استطلاع المهاجمين خلال المراحل الأولى من التطفل عبر التحكم في مسارات الشبكة المكشوفة. تحذير مكتب التحقيقات الفيدرالي الأخير بشأن مجموعة Silent Ransom التي تنتحل شخصياً صفة موظفي تكنولوجيا المعلومات هو تذكير بأن المهاجمين يدرسون أيضاً بنية الشبكة وضوابط الوصول كجزء من أعمالهم التحضيرية.

ما يعنيه هذا بالنسبة لك

بالنسبة لمستخدمي Windows الأفراد، الخطوة الأكثر إلحاحاً هي التأكد من أن Windows Update حديث وأن تعريفات ومكونات برنامج Microsoft Defender مُحدّثة بالكامل. عادةً ما تُصدر Microsoft تصحيحات لثغرات بهذه الخطورة بسرعة، وتطبيقها فوراً هو الإجراء الأكثر فعالية الذي يمكنك اتخاذه.

أما بالنسبة لمديري تكنولوجيا المعلومات وفرق الأمن، فإن تأكيد CISA هو دعوة لمراجعة ما إذا كانت تصحيحات BlueHammer قد طُبقت على جميع الأجهزة الطرفية، بما في ذلك الموظفين عن بُعد والعاملين في نماذج العمل الهجين. ينبغي على المؤسسات أيضاً مراجعة قدراتها على اكتشاف سلوكيات رفع الصلاحيات، حيث أن التصحيح يُعالج الثغرة لكن المراقبة تُعالج نمط التهديد الأوسع.

تجدر الإشارة أيضاً إلى أن CISA لا تضيف الثغرات إلى كتالوج الثغرات المستغلة المعروفة باستخفاف. فإدراج ثغرة هناك يحمل توجيهاً تشغيلياً ملزماً للوكالات الفيدرالية الأمريكية، ويُعتبر إشارة قوية للقطاع الخاص بأن الاستغلال نشط ومستمر، وليس افتراضياً. سجل الوكالة في تحديد الثغرات التي تُسبب ضرراً فعلياً جعلها نظام إنذار مبكر موثوقاً. وهذه المصداقية جعلتها أيضاً هدفاً: تسريب على GitHub مرتبط بمقاول لدى CISA في وقت سابق من هذا العام أكد كيف أن حتى المؤسسات التي تركز على الأمن تواجه مخاطر تتعلق بالبنية التحتية.

خلاصات عملية

  • ثبّت التصحيحات الآن. طبّق جميع تحديثات Microsoft الأمنية المتاحة، مع إيلاء اهتمام خاص لأي تصحيحات تتعامل مع مكونات Microsoft Defender.
  • دقّق أجهزتك الطرفية. تأكد من وصول نشر التصحيحات إلى الموظفين عن بُعد والمكاتب الفرعية وأي أجهزة قد تكون فاتتها دورات التحديث التلقائي.
  • نوّع دفاعاتك. لا تعتمد على أداة أمان واحدة كاستراتيجية حماية كاملة. ادمج أمن الأجهزة الطرفية مع مراقبة الشبكة وضوابط الوصول والكشف السلوكي.
  • راقب رفع الصلاحيات. راجع السجلات بحثاً عن أحداث رفع صلاحيات غير معتادة، خاصة تلك التي تشمل عمليات برامج الأمان.
  • راجع تقسيم الشبكة. إذا تمكنت برامج الفدية من الحصول على موطئ قدم، فإن التقسيم القوي للشبكة يمكن أن يحد من مدى انتشارها قبل اكتشافها واحتوائها.

تحوّل BlueHammer من أداة Zero-day إلى عنصر أساسي في ترسانة عصابات الفدية هو نمط رآه مجتمع الأمن من قبل، وسيحدث مجدداً مع ثغرات مستقبلية. بناء ممارسات أمنية تأخذ هذا التطور المتوقع في الحسبان أكثر ديمومة من مجرد التفاعل مع كل ثغرة على حدة.