يمكن للمتسللين استغلال إطار عزل حاويات Windows للالتفاف على أمن الطرف النهائي. كشف باحث أمني عن طريقة جديدة يمكن للمتسللين من خلالها استغلال إطار عزل حاويات Windows للالتفاف على حلول أمن الطرف النهائي.
الإطار هو ميزة في Windows Server 2016 وأحدث إصدارات Windows التي تسمح للمستخدمين بتشغيل التطبيقات في حاويات معزولة عن بقية النظام. يهدف هذا إلى تحسين security و performance للتطبيقات.
أفاد الباحث الأمني Daniel Avinoam من Deep Instinct أن المهاجمين يمكنهم استغلال الإطار عن طريق إنشاء حاوية مزيفة تحتوي على ملف reparse point. الملف هو نوع خاص من الملف الذي يمكنه إعادة توجيه I/O operations إلى ملف آخر.
في هذه الحالة، يمكن للمهاجم إعادة توجيه I/O operations إلى ملف على نظام متصل بالشبكة. هذا يعني أن المهاجم يمكنه الوصول إلى الملفات على النظام المتصل بالشبكة دون أن يتم اكتشافه من قبل حلول أمن الطرف النهائي.
يمكن للمهاجم استخدام هذه الطريقة ل steal البيانات أو install malware على النظام المتصل بالشبكة.
للحماية من هذه التهديدات، يجب على مستخدمي Windows تحديث أنظمتهم إلى أحدث إصدار من Windows. كما يجب عليهم تجنب تشغيل حاويات Windows من مصادر غير موثوقة.
فيما يلي بعض النصائح الإضافية للحماية من هجمات حاويات Windows:
- استخدم برنامج أمان يوفر حماية شاملة ضد تهديدات حاويات Windows.
- تطبيق سياسات أمنية صارمة على حاويات Windows.
- إجراء تدريبات للموظفين حول مخاطر حاويات Windows.
كذلك من المهم أن نتذكر أن حاويات Windows ليست آمنة بشكل تلقائي. يجب على المستخدمين اتخاذ خطوات لحماية أنظمتهم من هجمات حاويات Windows.
المزيد عن NoFilter
NoFilter هي تقنية تخفي تلاعب المهاجم بنظام أمان Endpoint. تستغل NoFilter Windows Filtering Platform (WFP) لتجاوز أمان Endpoint.
WFP هو framework الذي يسمح للتطبيقات بتصفية I/O traffic. يمكن للتطبيقات استخدام WFP لمنع أو السماح بأنواع معينة من I/O traffic.
NoFilter تستخدم WFP لمنع الاتصالات بين ملف reparse point وملف على نظام متصل بالشبكة. هذا يمنع حلول أمن الطرف النهائي من اكتشاف أن المهاجم يحاول الوصول إلى الملفات على النظام المتصل بالشبكة.
كيفية حماية نفسك من NoFilter
كما هناك عدد من الطرق التي يمكنك من خلالها حماية نفسك من NoFilter:
- تحديث نظام التشغيل Windows إلى أحدث إصدار.
- استخدام برنامج أمان يوفر حماية ضد NoFilter.
- تطبيق سياسات أمنية صارمة على نظامك.
- إجراء تدريبات للموظفين حول NoFilter.
من المهم أن تتذكر أن NoFilter هي تقنية جديدة، وربما تكون هناك طرق أخرى للمهاجمين من خلالها استغلالها. من المهم أن تظل على اطلاع بأحدث التهديدات الأمنية وأن تتخذ الخطوات اللازمة لحماية نفسك.