بهعنوان بخشی از وصلههای ماهیانه که در روز سهشنبه ۱۲ سپتامبر منتشر شد[۱]، مایکروسافت نسخه بزرگی از بهروزرسانیهای امنیتی را برای برطرف کردن ۸۱ آسیبپذیری ذکرشده بر روی تمامی نسخههایی از ویندوز که دارای پشتیبانی است و دیگر محصولات مایکروسافت منتشر کرد.
آخرین بهروزرسانیهای امنیتی که از طرف مایکروسافت منتشر شد شامل ۲۷ آسیبپذیری حیاتی و ۵۴ آسیبپذیری مهم بود که از میان آنها ۳۸ آسیبپذیری بر روی ویندوز تأثیرگذار بوده و ۳۰ آسیبپذیری نیز از نوع آسیبپذیری اجرای کد از راه دور است.
این آسیبپذیریها بر روی محصولات زیر تأثیرگذار هستند:
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- .NET Framework
- Skype for Business and Lync
- Microsoft Exchange Server
- Microsoft Office, Services and Web Apps
- Adobe Flash Player
آسیبپذیری روز صفر .NET در حال حاضر در حال بهرهبرداری است.
بر طبق گفته این شرکت، چهار مورد از آسیبپذیریهای وصله شده بهطور عمومی شناخته شدهاند و یکی از آنها در حال حاضر در سطح اینترنت و توسط مهاجمان بهرهبرداری شده است.
در اینجا لیست آسیبپذیریهای شناختهشده و میزان تأثیر آنها آورده شده است:
آسیبپذیری اجرای کد از راه دور .Net Framwork در ویندوز که CVE-2017-8759 نامگذاری شده است: یک آسیبپذیری روز صفر که توسط محققان امنیتی شرکت FireEye کشف شده است[۲] و بهطور خصوصی به مایکروسافت گزارش شده بود و در روشی قرار دارد که Microsoft .NET Framework دادههای ورودی نامعتبر را پردازش میکند.
مایکروسافت دراینارتباط میگوید که این آسیبپذیری میتواند به یک مهاجم اجازه دهد تا کنترل سیستم آلوده شده را توسط گول زدن فرد قربانی در باز کردن یک فایل یا برنامه مخرب که از طریق پست الکترونیک برای او ارسال شده است، در اختیار گیرد. سپس مهاجم میتواند برنامههای مختلف را بر روی سیستم نصب کند، دادهها را مشاهده کرده و آنها را تغییر داده و یا حتی پاک کند.
این آسیبپذیری حتی به یک مهاجم اجازه میدهد تا اکانتهای جدید با سطح دسترسی مدیر بر روی سیستم آلودهشده بسازد. بنابراین کاربرانی که دارای سطح دسترسی پایین بر روی سیستم هستند نسبت به کاربران دارای سطح دسترسی بالا کمتر آسیبپذیر هستند.
بر طبق گفته FireEye، این آسیبپذیری روز صفر توسط یک گروه جاسوسی سایبری تأمین مالی شده و بهطور فعال در سطح اینترنت مورد بهرهبرداری قرار گرفته است[۳] تا برنامه جاسوسی FinFisher یا FinSpy را به یک نهاد روسی و از طریق فایلهای RTF مایکروسافت آفیس مخرب در ماه جولای ۲۰۱۷ تحویل دهد[۴].
FinSpy یک نرمافزار نظارتی بسیار سری است که قبلاً به یک شرکت بریتانیایی به نام Gamma Group مربوط میشده است که شرکتی است که بهطور قانونی نرمافزارهای نظارت و جاسوسی را به سازمانهای دولتی میفروشد.
هنگامیکه یک سیستم آلوده شود، FinSpy میتواند تعداد بسیار زیادی از فعالیتهای مخفیانه را بر روی کامپیوتر قربانیان انجام دهد که شامل مونیتور کردن مخفیانه کاربران با روشن کردن وبکم، ضبط کردن تمامی کلیدهای فشردهشده توسط کاربر، شنود تماسهای اسکایپ، کپی کردن فایلها و بسیاری از کارهای دیگر میشود.
محققان FireEye دراینباره میگویند: “این نوع جدید از FINSPY دارای کد بسیار پیچیدهای است که یک ماشین مجازی را در اختیار گرفته و به همراه دیگر تکنیکهای ضد تجزیهوتحلیل، فرآیند مهندسی معکوس را سختتر میکند. یکی دیگر از تکنیکهای ضد تجزیهوتحلیل منحصربهفرد، مسیر کامل خود را تجزیه کرده و برای ارائه رشته هشِ MD5 خود شروع به جستجو میکند. بسیاری از منابع، مانند ابزارهای تجزیهوتحلیل و سندباکسها، نام فایلها یا نمونهها را به نام هش MD5 خود تغییر میدهند تا اینکه از نام فایلهای واحد اطمینان حاصل کنند.”
سه آسیبپذیری افشاشده برای عموم
سه آسیبپذیری باقیمانده دیگر که برای عموم افشا شده بودند و بر روی سیستمعامل ویندوز ۱۰ تأثیرگذار بودند شامل این موارد هستند:
آسیبپذیری دور زدن ویژگی امنیتی (CVE-2017-8746): این نقص میتواند به یک مهاجم اجازه دهد تا یک کد مخرب را به یک جلسه PowerShell در ویندوز تزریق کند.
آسیبپذیری دور زدن ویژگی امنیتی در Microsoft Edge یا CVE-2017-8723: این نقص در نرمافزار Edge قرار داشته و در هنگامی به وجود میآید که Content Security Policy یا CSP در تأیید اعتبار فایلهای دستکاریشده خاص شکستخورده و به مهاجمان اجازه میدهد تا قربانیان را گول بزنند تا از یک وبسایت دارای بدافزار دیدن کنند.
آسیبپذیری اجرای کد از راه دور در مدل BCM43xx از تراشه Broadcom یا CVE-2017-9417: این نقص در تراشه Broadcom و در HoloLens قرار داشته که میتواند توسط مهاجمان مورد بهرهبرداری قرار گرفته تا یک بسته WiFi دستکاریشده را ارسال کنند و آنها را قادر میسازد تا اقدام به نصب نرمافزارها کرده و یا دادهها را تغییر داده و یا پاک کنند و حتی کاربرهایی با اجازه در سطح مدیر بسازند.
حمله BlueBorne: یکی دیگر از دلایل نصب کردن بدون درنگِ وصلههای امنیتی
همچنین آسیبپذیری بلوتوثی که اخیراً کشف شده و به نام BlueBorne شناخته میشود، بیش از پنج میلیون دستگاه دارای بلوتوث فعال را تحت تأثیر قرار داده است و در ماه جولای و توسط مایکروسافت وصله شد اما جزئیات این آسیبپذیری اکنون منتشر شده است[۵].
BlueBorne از نوع آسیبپذیریهایی در پیادهسازی بلوتوث بوده که به مهاجم اجازه میدهد تا کنترل دستگاههای دارای بلوتوث را در اختیار گیرد، بدافزارها را بگستراند و یا حتی حملات مردی در میان را بهمنظور به دست آوردن دسترسی به دادههای حساس و شبکهها و بدون هیچگونه دخالتی توسط کاربر، پیادهسازی کند.
بنابراین کاربران دارای یک دلیل بسیار مهم برای اعمال هر چه سریعتر وصلههای امنیتی ماه سپتامبر هستند به این منظور که از حملات مهاجمان و مجرمان سایبری جلوگیری کنند.
دیگر آسیبپذیریهای وصله شده در این ماه شامل پنج آسیبپذیری افشای اطلاعات و یک آسیبپذیری DoS است در بخش Hyper-V ویندوز، دو آسیبپذیری XSS در SharePoint و همچنین چهار آسیبپذیری تخریب حافظه و دو آسیبپذیری اجرای کد از راه دور در مایکروسافت آفیس است.
بهمنظور اعمال آسیبپذیریهای امنیتی بهاینترتیب عمل کنید:
Settings → Update & security → Windows Update → Check for updates
منابع
[۱]https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/5984735e-f651-e711-80dd-000d3a32fc99
[۲] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759
[۳]https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html
[۴] http://thehackernews.com/2014/08/company-that-sells-finfisher-spying.html
[۵] https://apa.aut.ac.ir/?p=3012
[۶] http://thehackernews.com/2017/09/windows-zero-day-spyware.html
ثبت ديدگاه