انتشار شده در تاریخ 1395/02/24 - 15:09

آسیب‌پذیری روز-صفرم در IE

به گزارش واحد متخصصین سایبربان؛ مایکروسافت یک آسیب‎پذیری روز-صفرم با شناسه CVE-2016-0189 را در اینترنت اکسپلورر وصله کرده است. این آسیب‎پذیری برای حمله‌ی هدف‌دار علیه کره جنوبی مورد سوءاستفاده قرارگرفته است.

مهاجمان از یک آسیب‎پذیری روز-صفرم در یک حمله‎ی هدف‎دار کره جنوبی سوءاستفاده کرده‌اند. این آسیب‎پذیری خرابی حافظه بر روی ماشین راه دور اینترنت اکسپلورر، ظاهراً بر روی یک وب‌گاه میزبانی می‌شود و مهاجمان با ایمیل‌های فیشینگ و حمله‌ی Water Hole سعی در آلوده کردن سامانه‌ی کاربران دارند.

نکته: (حمله‎ی Water Hole، حمله‌ای که در آن مهاجم به دنبال آلوده کردن گروه مشخصی از کاربران یک وب‌گاه است. این وب‎گاه توسط این گروه کاربری شناخته‌شده است. هدف از حمله آلوده کردن گروه کاربران و به دست گرفتن کنترل شبکه‌‎‌ای است که این کاربران در آن عضو هستند.)

مایکروسافت در آخرین به‌روزرسانی خود که سه‌شنبه منتشر شد، این آسیب‎پذیری روز-صفرم را وصله کرد.

مهاجمان قبل از انتشار وصله‌ی این آسیب‌پذیری توسط مایکروسافت، از مزایای آن استفاده کرده‌اند. احتمالاً آن‌ها با استفاده از ایمیل‌های فیشینگ حاوی پیوند به وب‎گاه مهاجم یا با قرار دادن پیوند در وب‌گاه‌های قانونی دیگر و هدایت کاربران به وب‎گاه هدف، این سوءاستفاده را توزیع کرده‌اند.

وب‎گاه هدف و سوءاستفاده کننده حاوی کد جاوا اسکریپت است که پروفایلی از سامانه‌ی کاربران بازدیدکننده از این وب‌گاه را استخراج می‎کند. این کد بررسی می‌کند که آیا سامانه‌ی بازدیدکننده یک ماشین مجازی است یا نه؟! همچنین نسخه‌ی اینترنت اکسپلورر و فلش و ویندوز کاربر را نیز استخراج می‌کند.

این اطلاعات در ادامه از طریق URL به یک دامنه‌ی سطح بالا مربوط به کره‌ی جنوبی.co.kr ارسال می‌شود.

کد جاوا اسکریپت در ادامه این سوءاستفاده را در قالب پرونده ویژوال‌بیسیک تحویل می‌دهد، اگر بهره‌برداری و سوءاستفاده موفق بوده باشد، پرونده‌ی مخربی از یک وب‎گاه با دامنه .co.kr بارگیری می‌شود.

پس‌ازاینکه پرونده‌ی موردنظر بارگیری شد، کد سوءاستفاده این پرونده را به‌وسیله‌ی XOR کردن با مقدار ۰x۵۵۱۶۴۹۷۵ رمزگشایی می‎کند. پرونده‌ی رمزگشایی‌شده سپس در مسیر %Temp%\rund11.dll سامانه ذخیره می‌شود. بار داده‌ی نهایی فعلاً ناشناخته است.

این آسیب‌پذیری روز-صفرم کره‎ی جنوبی را تحت تأثیر قرار داده، چراکه این کشور به استفاده از این مرورگر وب متکی است. در سال ۱۹۹۹ در کره‌ی جنوبی قانون تصویب شد که تمامی سازندگان را ملزم می‌کرد تا با Active X مایکروسافت برای استفاده در رمزنگاری منطقه‌ای SEED در تراکنش‎ها سازگار شوند. اینترنت اکسپلورر تنها مرورگری است که از Active X پشتیبانی می‎کند. از آن زمان کره‌ی جنوبی برنامه‌ریزی کرده تا از این مرورگر کمتر استفاده کند ولی همچنان این کشور به استفاده از این مرورگر وابسته است.

این آسیب‎پذیری تنها یکی از آسیب‎پذیری‎های روز-صفرم است که کره جنوبی را تحت تأثیر قرار داده است. به‌طور مثال سال گذشته مهاجمان حمله‌ای تحت عنوان Backdoor.Duuzer را ترتیب دادند که سازمان‌های کره جنوبی را هدف قرار داده بود. مهاجمان انواع مختلف Duuzer را با استفاده از حمله‌ی روز-صفرم منتشر کرده بودند که توانست پردازشگر کلمه Hangul را در کره‌ی جنوبی موردحمله قرار دهد.

انگیزه‌ی بیشتر حملات انجام‌شده به سازمان‌های کره جنوبی، خرابکاری یا جاسوسی است. مهاجمان به سازمان‌های کره جنوبی حمله می‌کنند تا دسترسی کامل به سامانه‌ها پیدا کنند، اطلاعات حساس و مهم را بدزدند و یا کل حافظه‎ی دیسک سخت را پاک کنند.

راه‎های کاهش تهدیدات آسیب‎پذیری:

کاربران باید در اسرع وقت وصله‎های ارائه‌شده برای آسیب‎پذیری موجود در اینترنت اکسپلورر را پیاده‌سازی و نصب کنند. همچنین Symantec توصیه می‌کند تا کاربران به اصول زیر پایبند باشند تا از آلودگی سامانه‌ی خود جلوگیری کنند:

•ایمیل‌های مشکوک مخصوصاً ایمیل‌های حاوی پیوند و ضمیمه را حذف کنید. ایمیل‎های فیشینگ در راستای فریب کاربران برای اجرای پرونده‎های مخرب و آلوده بسیار استفاده می‎شوند.

•سیستم‎عامل و تمامی نرم‎افزارهای خود را به‎روز نگه‌دارید. به‎روزرسانی‎ها همواره حاوی وصله‎های مربوط به آسیب‎پذیری‎های کشف‌شده است.

•نرم‎افزارهای امنیتی خود را با آخرین نسخه‌های منتشرشده به‎روز نگه‌دارید.