مهاجمان کد سو استفاده‌‌ای را توسعه‌ داده‌اند که می‌تواند آسیب‌ پذیری روز صفرم در نرم‌افزار واژه‌پرداز مایکروسافت یا Microsoft Word را هدف قرار دهد.

گزارش سرویس امنیت و شبکه پایگاه خبری فن آوری اطلاعات ایران از پلیس فتا، این کد سواستفاده از مولفه‌های پیچیده‌ای از جمله مولفه‌ای که آدرس‌های تصادفی را دور می‌زند(ASLR bypass)، مولفه‌ی مبتنی بر روش‌های ROP و شل‌کدی که با لایه‌های مختلف طراحی شده و وظیفه دارد تحلیل این کد سوء‌استفاده را پیچیده‌تر کند.

این آسیب‌ پذیری که روز گذشته مایکروسافت در یک توصیه‌نامه‌ی امنیتی، آن را تایید کرد، نسخه‌های مختلف این نرم‌افزار را در سامانه‌عامل‌های ویندوز و OS X مورد هدف قرار داده و به علت مشکل مربوط به مدیریت پرونده‌های RTF توسط نرم‌افزار word می‌باشد.

مایکروسافت هم‌چنین اعلام کرده است که یک روش به صورت تئوری وجود دارد که می‌توان از این آسیب‌ پذیری در نرم‌افزار Outlook هم سوءاستفاده کرد و البته در این حالت نیازی به بازکردن پرونده‌‌ی آلوده نیست و فقط اگر این پرونده در Outlook وجود داشته باشد، رایانه، قربانی خواهد شد.

مایکروسافت اعلام کرده است که سو استفاده از این آسیب‌ پذیری در تمام نسخه‌های Microsoft Word محتمل است، اما تاکنون در نسخه‌ی Word 2010 به صورت گسترده سوء‌استفاده آغاز شده و به نظر می‌رسد این کد قابل بهره‌برداری در Word 2013 نیست و علت آن این است که در نسخه‌ی Word 2013، سازوکار مقابله با ASLR تعبیه شده است.

مایکروسافت هم‌چنین گزارش داده است که اگر ماشین آسیب‌ پذیر باشد، کد سواستفاده اجرا می‌شود و به خوبی کار خواهد کرد و در غیراین‌ صورت، این کد منجر به از کار افتادن نرم‌افزار می‌شود و برای استفاده‌ی مجدد باید Word راه‌اندازی مجدد شود.

مستندِ مخربی به منظور سو استفاده از آسیب‌ پذیری حافظه در کد اجرای s,، به کار می‌رود و مولفه‌ی دیگری توسط مهاجمین طراحی شده است که می‌توانید از ASLR سواستفاده کند.

هم‌چنین همان‌طور که بیان شد یک شل‌کد در این کد قرار داده شده‌است که می‌تواند تشخیص دهد این کد در محیطی اجرا می‌شود که تحلیل و بررسی شود و یا در محیط عادی رایانه‌ی قربانی است، البته این روش، از سال‌ها پیش توسط توسعه‌دهندگان بدافزار مورد استفاده قرار گرفته است. تشخیص این‌که کد در حال اجرا در یک سند‌باکس است نیز توسط همین شل‌کد صورت می‌گیرد.

شِل‌کد مذکور از لایه‌های مختلف رمزنگاری نیز استفاده می‌کند و هم‌چنین بررسی می‌کند که آیا به‌روز‌رسانی جدید در رایانه‌ی قربانی نصب شده است یا خیر.

این کد مخرب هم‌چنین دارای بخشی است که بررسی می‌کند آیا به‌روز‌رسانی‌های نصب‌شده بعد از تاریخ ۸ آوریل ۲۰۱۴ (روز پایان پشتیبانی از ویندوز اکس‌ پی) می‌باشد، حتی اگر این کد سواستفاده با موفقیت نیز اجرا شده باشد، در این مولفه تصمیم گیری می‌شود که آیا پس از این تاریخ با توجه به وضعیت رایانه، درپشتی جدیدی را مورد سواستفاده قرار دهد یا خیر.

این کد سواستفاده، پس از این‌که موقعیت رایانه‌ی قربانی را بررسی می‌کند و آن را هدف مناسبی برای حمله می‌یابد، یک پوشه‌ موقتی با یک پرونده‌ درپشتی به نام «svchost.exe» در رایانه‌ قربانی بارگیری و سپس این پرونده اجرا را اجرا می‌کند.

پرونده‌ی مذکور، با Visual Basic 6 توسعه پیدا کرده و مبتنی بر ارتباطات رمز‌شده‌ HTTPS است و هم‌چنین می‌تواند اسکریپت‌های ویندوزی مختلفی را با WScript.Shell اجرا کند و مولفه‌های دیگر MSI، را نصب و اجرا کند.

مایکروسافت در توصیه‌نامه‌اش، این موارد را عنوان کرده و درهای پشتی مورد استفاده‌ این بدافزار را تشریح کرده است، یکی از این مولفه‌ها نیز به بدافزار امکان ارتباطات مبتنی بر SSL با کارگزار کنترل و فرمان‌دهی با استفاده از یک گواهینامه‌ دارای امضای self-signed می‌دهد.

درباره نویسنده

محمد کرمانی هستم برنامه نویس و طراح وب سایت

دیدگاه خود را بنویسید

Time limit is exhausted. Please reload CAPTCHA.