مایکروسافت ابزار جدیدی را برای شناسایی باج‌افزارها رونمایی کرد

مایکروسافت قابلیت جدیدی را برای شناسایی باج‌افزارها به سرویس Azure افزوده است. این ابزار در صورت کشف فعالیت‌های مرتبط با باج‌افزار؛ هشدارهایی را به تیم‌های امنیتی می‌فرستد تا آنان به سرعت شرایط را کنترل کنند. «سیلوی لیو» از مایکروسافت در پستی در وبلاگ این شرکت تاکید کرد، آژور با همکاری مرکز Microsoft Threat Intelligence سیستمی موسوم به Fusion را برای شناسایی باج‌افزارها گسترش داده است. فناوری فیوژن مایکروسافت با استفاده از یادگیری ماشینی، حملات پرقدرت را شناسایی و هشدارهای لازم را به تیم‌های امنیتی ارسال می‎‌کند.

این سیستم در صورت رویت فعالیت‌های ارتباط با باج‌افزار، در یک دوره زمانی مشخص هشدارهای لازم را ارسال می‌کند. لیو افزود: این سیستم در فضای کاری Azure Sentinel با پیام‌هایی مانند «چند هشدار در ارتباط با فعالیت‌های باج‌افزاری شناسایی شد» تیم‌های امنیتی را آگاه می‌کند.
موضوع این هشدارها این است که چه اتفاقی افتاده و این اتفاق روی کدام دستگاه‌ها یا میزبانان دیده شده است. سیستم فیوژن اطلاعات خود را از آژور دیفندر، Microsoft Defender for Endpoint ،Microsoft Defender for Identity ،Microsoft Cloud App Security  و قواعد تحلیل آماری زمان‌بندی‌ شده توسط Azure Sentinel دریافت می‌کند.

رشد حملات به سازمان‌های دولتی و مدارس

گزارش جدید شرکت امنیت سایبری BlackFog حاکی است که حملات باج‌افزاری به سازمان‌های دولتی و مدارس در سال ۲۰۲۱ افزایش یافته و هزاران کامپیوتر مایکروسافت را تحت تاثیر قرار داده است. شرکت PurpleSec  اعلام کرد حملات باج‌افزاری احتمالا در سال ۲۰۲۰ حدود ۲۰ میلیارد دلار به کاربران زیان وارد کرده است.
لیو ادعا کرد: «پیش‌گیری از حملات در وهله نخست بهترین راهکار است ولی با توجه به ترند جدید باج‌افزار اجاره‌ای و باج‌افزارهایی که توسط خود هکرها کنترل می‌شوند، دامنه و پیچیدگی حملات بیشتر شده است. مهاجمان هم به استفاده از تکنیک‌های آرام‌تر و مخفیانه‌تری روی آورده‌اند که شناسایی حملات را دشوارتر کرده است.

کاهش خسارات با سرعت عمل بیشتر

این کارمند مایکروسافت ادامه داد: «در موضوع حملات باج‌افزاری، زمان بیش‌از هر چیز دیگری در پیشگیری از آلوده شدن سایر سیستم‌های شبکه اهمیت پیدا می‌کند.
به عبارتی هشدارها هرچه زودتر در اختیار تحلیلگران امنیتی قرار گیرد، سریع‌تر می‌توان حملات را کنترل کرد و از خسارت‌های ناشی از آن کاست.

پیشینه مایکروسافت برای مقابله با آسیب‌ها

مایکروسافت در سال گذشته آپدیت‌های امنیتی برای رفع خطراتی که سیستم‌عامل این شرکت را به‌خاطر اشکالات امنیتی کشف شده در بخش کتابخانه کدک و ویژوال استودیو ویندوز تهدید می‌کرد انتشار داد.
حفره امنیتی که کتابخانه کدک‌های ویندوز بر برچسب CVE-2020-17022 نام گرفت، به هکرها اجازه می‌دهد که کنترل سیستم کاربر را در اختیار بگیرند.
هکرها برای به تله انداختن کاربران، آنان را به بارگذاری عکس‌های مشخصی از طریق اپلیکیشن‌های بومی وسوسه می‌کنند. این حمله، پروتکل‌های وابسته به حافظه را هدف قرار داده است و در نتیجه  فرد مهاجم کنترل سیستم را در دست می‌گیرد.
مایکروسافت در آن زمان از آن دسته از کاربران خود که کدک HEVC را روی سیستم خود نصب کرده بودند تقاضا کرد که اجازه دهند این کدک از طریق مایکروسافت استور ویندوز آپدیت شود.
مایکروسافت در حالی امروز ابزار جدیدی را برای شناسایی باج‌افزارها رونمایی کرد که ماه گذشته سیستم‌عامل ویندوز مایکروسافت با یک آسیب از طرف مهاجمان روبه‌رو شد. مایکروسافت برای مقابله با این آسیب‌پذیری همان موقع انتشار یک آپدیت امنیتی را برای سیستم‌عامل ویندوز شروع کرد تا از این طریق آسیب‌پذیری جدی سرویس Windows Print Spooler به نام PrintNightmare را رفع ‌کند.
با توجه به این‌که سرویس Print Spooler به‌صورت پیش‌فرض روی ویندوز انجام می‌شود، مایکروسافت این وصله را برای نسخه‌های مختلف این سیستم‌عامل از جمله ویندوز سرور ۲۰۱۹، ویندوز سرور ۲۰۱۲ آر ۲، ویندوز سرور ۲۰۰۸، ویندوز ۸.۱ و ویندوز ۱۰ منتشر ‌کرد.

نصب فوری آپدیت‌ها

پس از بروز این مشکل، مایکروسافت به تکاپو افتاد تا میزان آسیب‌پذیری کاهش یابد. رفع این مشکل نیز از طریق تهیه این آپدیت و نصب خیلی سریع آن امکان‌پذیر است.
به‌همین منظور، مایکروسافت در این زمینه خطاب به کاربران می‌گوید: «توصیه می‌کنیم بلافاصله این آپدیت‌ها را نصب و راه‌اندازی کنید. به‌روزرسانی‌های امنیتی جدیدی که از تاریخ ۶ ژوئیه ۲۰۲۱ انتشار یافته‌اند شامل وصله‌هایی برای CVE-2021-1675 و یک اکسپلویت اجرای کد از راه دور در سرویس Windows Print Spooler موسوم به PrintNightmare هستند که توضیحات آن در CVE-2021-34527 عرضه شده است.»

علی حبیبی