کشف حمله تزریق کد روی تمامی نسخه‌های ویندوز

اگر شما یک کامپیوتر دارای سیستم عامل ویندوز داشته باشید که وصله‌های مربوطه هم روی آن نصب شده باشد، مهاجمان همچنان می‌توانند کامپیوتر شما را مورد حمله قرار دهند.

محققان امنیتی، یک روش جدید را کشف کردند که می‌تواند به مهاجمان اجازه دهد تا یک کد مخرب را بر روی تمامی نسخه‌های سیستم عامل ویندوز مایکروسافت، حتی ویندوز ۱۰، وارد کنند. با توجه به اینکه هیچ کدام از ابزارهای ضد بدافزار^(۱) نمی‌توانند این کد مخرب را تشخیص دهند، این روش، میلیون‌ها کامپیوتر را در سطح جهان تهدید کرده است.

این روش که BadBombing نامیده می‌شود، از هیچ گونه آسیب‌پذیری بهره‌برداری نکرده است اما از یک ضعف طراحی در ویندوز سوء استفاده کرده است.

حمله BadBombing از system-level Atom Tables سوء استفاده می‌کند که یک ویژگی در ویندوز است که به نرم‌افزارها اجازه می‌دهد تا برای دسترسی داشتن به صورت منظم به اطلاعات، آن‌ها را بر روی رشته‌ها^(۲)، اشیاء^(۳) و دیگر انواع داده‌ها ذخیره کنند.

و از آنجایی که Atom ها، جداول را به اشتراک می‌گذارند، تمامی انواع نرم‌افزارها می‌توانند به داده‌های داخل آن جداول دسترسی داشته و یا آن‌ها را تغییر دهند. شما می‌توانید اطلاعات تکمیلی راجع به Atmo Table ها را بر روی وبلاگ مایکروسافت[۱] بخوانید.

یک تیم از محققان از شرکت امنیت سایبری [۲] EnSilo، که روش AtomBombing را مطرح کردند، می‌گویند این نقص طراحی در ویندوز می‌تواند به کد مخرب اجازه دهد تا جداول atom را تغییر داده و با فریب نرم‌افزارهای قانونی باعث شود تا این نرم‌افزارها، اقدامات مخرب را از طرف آن، انجام دهند.

محققان می‌گویند، هنگام ورود به فرآیندهای قانونی، این بدافزار، دور زدن مکانیزم‌های امنیتی را برای مهاجمان ساده می‌کند.

علاوه بر فرآیند محدود کردن سطح عبور^(۴)، روش تزریق کد AtomBombing همچنین به مهاجمان اجازه می‌دهد تا حملات مرورگر فردی در میان^(۵) را انجام داده و از راه دور، از صفحات Desktop کاربران مورد هدف قرار گرفته عکس بگیرند و به کلمات عبور رمزگذاری شده که بر روی مرورگر ذخیره شده‌اند، دسترسی پیدا کنند.

مروگر Google Chrome کلمات عبور ذخیره شده شما را با استفاده از Windows Data Protection API⁽⁶⁾ رمزگذاری می‌کند، که از داده‌های گرفته شده از کاربر جاری برای رمزگذاری یا رمزگشایی داده‌ها و دستیابی به کلمه عبور، استفاده می‌کند.

بنابراین اگر بدافزار به فرآیندی که در حال اجرا در زمینه کاربر جاری است، نفوذ کند، دستیابی به کلمات عبور به صورت یک متن ساده ممکن خواهد بود.

علاوه بر این، با وارد کردن کد به مرورگر وب، مهاجمان می‌توانند مطالب نشان داده شده به کاربر را تغییر دهند.

Tal Liberman، مدیر تیم تحقیقاتی شرکت enSilo، می‌گوید: “برای مثال، در یک فرآیند معاملات بانکی، همیشه اطلاعات دقیق پرداختی به مشتری نشان داده می‌شود که مشتری آن را به عنوان صفحه تأیید در نظر می‌گیرد. با این حال، مهاجمان داده‌‌ها را تغییر داده و بنابراین بانک مورد نظر اطلاعات انتقال غلط را که به نفع مهاجم است، دریافت می‌کند. برای مثال، یک شماره حساب مقصد و یک مبلغ متفاوت.”

به روزرسانی برای حمله AtomBombing وجود ندارد.

بدترین چیز این است که این شرکت گفته است تمامی سیستم عامل‌های ویندوز، شامل جدیدترین نسخه ویندوز ۱۰، تحت تأثیر این حمله قرار گرفته‌اند و در حال حاضر هیچ گونه وصله‌ای برای این مشکل منتشر نشده است.

Liberman می‌گوید: “متأسفانه، این مشکل نمی‌تواند اصلاح شود، چون این مشکل بر پایه یک کد شکسته یا ناقص نیست، بلکه بر اساس چگونگی طراحی مکانیزم‌های سیستم‌ عامل است.”

از آنجا که، روش AtomBombing توابع سیستم عامل قانونی را برای انجام حمله، مورد بهره‌برداری قرار می‌دهد، مایکروسافت نمی‌تواند این مشکل را بدون تغییر دادن چگونگی کارکرد سیستم عامل اصلاح کند. این یک راه حل عملی نیست، بنابراین هیچ ایده‌ای برای حل این مشکل وجود ندارد.

برای جزئیات فنی بیشتر درباره روش AtomBombing و چگونگی عملکرد آن، شما می‌توانید بهBreaking Malware [3] مراجعه کنید.

منبع

[۱] https://msdn.microsoft.com/en-us/library/windows/desktop/ms649053(v=vs.85).aspx

[۲] http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions

[۳] https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/

[۴] http://thehackernews.com/2016/10/code-injection-attack.htmll

(۱) Anti-malware tools
(۲) Strings
(۳) Objects
(۴) Level restrictions bypass
(۵) Man-in-the-middle (MITM)
(۶) DPAPI