CVE-2013-3906؛ روز صفرم دیگری برای مایکروسافت آفیس

مایکروسافت یک آسیب‌پذیری جدید با شناسه‌ی CVE-2013-3906 را کشف کرده که ممکن است هنگام پردازش تصاویری با قالب TIFF مورد سوءاستفاده قرار بگیرد.

سوءاستفاده از این شکاف امکان حمله‌‌ی بدافزاری به نرم‌افزارهایی همچون مایکروسافت آفیس و Lync را برای مهاجمان فراهم می‌نماید، این نرم‌افزارها از یک DLL آسیب‌پذیر برای پردازش تصاویر TIFF استفاده می‌کنند. در همان روزهای نخست خبرهایی مبنی بر کشف سوءاستفاده‌هایی از آسیب‌پذیری CVE-2013-3906 منتشر شد.

تاکنون نمونه‌های بدافزاری متعددی برای سوءاستفاده از آسیب‌پذیری CVE-2013-3906 توسعه پیدا کرده‌اند. محققان به دقت به تجزیه و تحلیل این بدافزارها پرداخته‌اند. تمامی این نمونه‌ها از پاشش هیپ یا همان Heap Spray استفاده می‌کنند، کد خود را در آدرس 0x08080808 ثبت کرده و کد مذکور را از همان موقعیت مکانی اجرا می‌نمایند. به این ترتیب تولید استثناء و بازنویسی حافظه در ogl.dll آسیب‌پذیر صورت می‌گیرد. در امنیت رایانه، پاشش هیپ شیوه‌ای است که برای تسهیل اجرای کدهای دلخواه در سوءاستفاده‌‌های سایبری به کار می‌رود.
           
 

             

این کد مخرب را می‌توان براساس شل‌کد به‌کاررفته در آن‌ به دو دسته‌ی مجزا تقسیم کرد. کد مخرب موجود در دسته اول از یک شل‌کد ابتدایی و رمزنشده استفاده می‌کند که تنها وظیفه‌ی آن بارگیری و راه‌اندازی نرم‌افزار مخرب است.
           

             

محتوای مخرب مربوطه یک پرونده‌ی doc. غیرآلوده را در سامانه رها می‌کند که با هدف برطرف کردن هرگونه شک و شبهه‌ی کاربران به آن‌ها نمایش داده می‌شود، همچنین یک برنامه‌ی مخرب نیز که پیشتر در حمله‌ی HangOver مشاهده شده بود به دنبال این پرونده‌ی doc. منتشر می‌شود. HangOver یک در پشتی است که به زبان ++C نوشته شده و حتی رمزگذاری هم نشده است.

کدهای مخرب موجود در دسته دوم به مراتب پیچیده‌تر هستند. شل‌کد مورد استفاده به کمک XOR رمز شده است. پس از رمزگشایی، کاشف به عمل آمد که این شل‌کد برخلاف اکثر بدافزارها به بارگیری و اجرای کد مخرب نمی‌پردازد؛ یعنی در این زمینه نیز کاملاً متفاوت با دسته‌ی نخست عمل می‌کند.
           

             

یک شی‌ء OLE2 در سند docx. اصلی وجود دارد که در شل‌کد فراخوانی می‌شود. این شی‌ء حاوی یک جریان داده‌ی ۶ بایتی است که در امتداد داده‌های رمزگذاری‌شده‌ قرار گرفته و شامل کلید رمزگشایی اصلی، کلید رمزگشایی پویا، و طولی از جریان داده‌ها می‌باشد. الگوریتم رمزگشایی یک XOR استانداردِ همراه با کلیدی است که به کمک بایت عملیاتی ADD ویرایش شده است.
           

             

این داده‌ها پس از رمزگشایی به یک DLL به نام a.l تبدیل می‌شوند که با winword.exe پردازش می‌شود. این DLL یک پرونده‌ی اجرایی به نام a.exe را رها می‌کند که همان در پشتی سیتادل می‌باشد.
           

             

بنابراین می‌توان گفت دو دسته‌ از مجرمان سایبری وجود دارند که از این آسیب‌پذیری تازه سود می‌برند.

جالب است بدانید پرونده‌های TIFF در دسته‌ی دوم از کدهای مخرب متعلق به ماه مارس ۲۰۱۳ هستند، اما اولین مواجهه با آن به ۳۱ جولای برمی‌گردد. این پرونده‌ها از حافظه، رمزگذاری‌ و روی‌کرد اجرای محتوای مخرب که به توصیف آن پرداختیم استفاده می‌کند. اما محتوای مخرب واقعی در سوءاستفاده‌های قبلی متفاوت بوده است. در نمونه‌ی جدید، کتاب‌خانه‌ی پویایی در سامانه رها می‌شود که به نوبه‌ی خود یک پرونده‌ی اجرایی را به همراه یک پرونده‌ی docx. غیرآلوده‌  راه‌اندازی می‌نماید. می‌توان گفت که در نمونه‌های اولیه DLL فرق می‌کند و به رهاسازی یک پرونده‌ی docx. متفاوت و اسکریپت vbe می‌انجامد. همین اسکریپت vbe در بدافزار چندسکویی Janicab نیز استفاده شده است.

منبع: وبگاه فناوری اطلاعات