افشا شدن یک آسیب‌پذیری روز صفر و تأثیرگذار بر روی تمامی نسخه‌های ویندوز توسط یک محقق

یک محقق امنیتی به‌طور عمومی یک آسیب‌پذیری روز صفر وصله نشده در تمام نسخه‌های پشتیبانی شده در سیستم‌عامل مایکروسافت ویندوز (ازجمله نسخه‌های سرور ویندوز) را افشا کرد. این محقق این کار را پس‌ازآنکه شرکت مایکروسافت در طی یک مهلت ۱۲۰ روزه، نتوانست این اشکال را برطرف کند انجام داد.

این آسیب‌پذیری روز صفر که توسط Lucas Leong از تیم تحقیقاتی Trend Micro Security کشف شده است در Microsoft Jet Database Engine قرار دارد که می‌تواند به مهاجم اجازه دهد از راه دور یک کد موذی را بر روی هر رایانه آسیب‌پذیر دارای سیستم‌عامل ویندوز اجرا کند.

Microsoft Jet Database Engine یا به‌سادگی JET، یک موتور پایگاه داده یکپارچه در چندین محصول مایکروسافت ازجمله Microsoft Access و ویژوال‌بیسیک است.

با توجه به گزارش[۱] منتشرشده توسط Zero Day Initiative، این آسیب‌پذیری ناشی از مشکلی در مدیریت شاخص‌ها در موتور پایگاه داده JET است که اگر با موفقیت مورد بهره‌برداری قرار گیرد، می‌تواند باعث نوشتن حافظه خارج از محدوده شود که منجر به اجرای کد از راه دور خواهد شد.

یک مهاجم باید یک کاربر مورد هدف را به باز کردن یک فایل پایگاه داده JET که به‌طور خاص دستکاری‌شده متقاعد کند تا از این آسیب‌پذیری بهره‌برداری کرده و از راه دور یک کد موذی را بر روی یک رایانه دارای سیستم‌عامل ویندوزِ آسیب‌پذیر اجرا کند.

Trend Micro’s Zero Day Initiative در پست وبلاگ خود نوشته است: “داده‌های ایجادشده در یک فایل پایگاه داده می‌تواند یک پایان‌نامه از انتهای یک بافر اختصاصی ایجاد کند. یک مهاجم می‌تواند از این آسیب‌پذیری استفاده کند تا یک کد را در زمینه فعلی فرآیند به اجرا درآورد.”

“برنامه‌های مختلف از این قالب پایگاه داده استفاده می‌کنند. یک مهاجم با استفاده از این می‌تواند یک کد را در سطح فرایند فعلی اجرا کند.”

به گفته محققان ZDI، این آسیب‌پذیری در همه نسخه‌های ویندوز دارای پشتیبانی ازجمله ویندوز ۱۰، ویندوز ۸٫۱، ویندوز ۷ و ویندوز سرور نسخه ۲۰۰۸ تا ۲۰۱۶ وجود دارد.

ZDI این آسیب‌پذیری را در تاریخ ۸ می به مایکروسافت گزارش کرد و این غول تکنولوژی این خطا را در روز ۱۴ می تأیید کرد اما مایکروسافت موفق به وصله کردن این آسیب‌پذیری و انتشار یک به‌روزرسانی برای این مشکل در یک مهلت ۱۲۰ روزه (۴ ماه) نشد. درنهایت ZDI این آسیب‌پذیری را با جزئیات و به‌صورت عمومی منتشر کرد.

کد اثبات ادعای بهره‌برداری از این آسیب‌پذیری نیز توسط صفحه Trend Micro در GitHub منتشر شده است [۲].

مایکروسافت در حال کار بر روی انتشار یک وصله برای این آسیب‌پذیری است و ازآنجایی‌که این وصله دربسته‌ی به‌روزرسانی‌های ماه سپتامبر ۲۰۱۸ عرضه نشده است[۳]، شما می‌توانید انتظار داشته باشید که مایکروسافت این آسیب‌پذیری را در ماه اکتبر ۲۰۱۸ برطرف کند.

Trend Micro به همه کاربران آسیب‌دیده توصیه می‌کند تا “برنامه‌ها را به تعامل با فایل‌های مورد اعتماد محدود کنند” و این کار را به‌عنوان یک عامل بازدارنده انجام دهند تا زمانی که مایکروسافت وصله موردنیاز را منتشر کند.

منابع

[۱] https://www.zerodayinitiative.com/advisories/ZDI-18-1075

[۲] https://github.com/thezdi/PoC/tree/master/ZDI-18-1075

[۳] https://apa.aut.ac.ir/?p=5506

[۴] https://thehackernews.com/2018/09/windows-zero-day-vulnerability.html