رویدادهای امنیتی

رایان افزار پژوه / رویدادهای امنیتی
اوایل  سال جاری میلادی کمپین بدافزار جاسوسی SnowMan که با سوء‌استفاده از  آسیب‌پذیری روز-صفرم مرورگر اینترنت‌اکسپلورر سامانه‌های کاربران را آلوده  می‌کرد، کشف شد. نکته‌ی جالب در مورد بدافزار مذکور این بود که بدافزار پس  از نصب در رایانه‌ی قربانی بررسی می‌کرد آیا این سامانه جعبه‌ابزار  1 Microsoft’s  Enhanced Mitigation  Experience Toolkit را دارد یا خیر، در  صورت مثبت بودن پاسخ، عملیات بدافزار متوقف می‌شد. 
واضح  است که مهاجمین با استفاده از این ترفند، اطلاعاتی را در مورد فعال بودن  EMET یا هر محصول ضدبدافزاری دیگر کسب می‌کردند. با انتشار اصلاحیه‌های  مایکروسافت در ماه جاری، این شرکت سعی داشته است ضعف بزرگ این مرورگر را  برای مقابله با این ترفند به کار گیرد. 
EMET  جعبه‌ابزاری است که توسط مایکروسافت ارائه شده و راه‌کاری برای مقابله‌ی  موقت با روز-صفرم‌های مورد استفاده‌ی مهاجمان سایبری فراهم می‌کند، این  جعبه‌ابزار شامل ابزار‌های کاهنده‌ی امکان سوء‌استفاده در مقابل  آسیب‌پذیری‌های رایج حافظه است. مشکلی که در مرورگر IE وجود داشت امکان  بررسی منابع بارگذاری‌شده در حافظه را فراهم می‌کرد و در واقع مهاجم می‌توانست تشخیص دهد که چه ابزارهای محافظت بدافزاری در رایانه فعال است. 
 
در  بولتن‌های امنیتی ماه سپتامبر، 4 محصول به‌روز‌رسانی‌هایی را دریافت  کرده‌اند، که یکی از آن‌ها مربوط به مرورگر اینترنت‌اکسپلورر است که با 37  آسیب‌پذیری دارای اهمیت بحرانی است. سه بولتن امنیتی دیگر مربوط به چارچوب  NET.، برنامه‌ریز وظایف ویندوز یا Windows Task Scheduler و Microsoft Lync  می‌باشند که همگی با درجه‌ی اهمیت مهم رده‌بندی شده‌اند و با احتمال زیاد  برای مهاجم امکان اجرای کد از راه دور را فراهم نمی‌کنند. 
بولتن‌های امنیتی منتشرشده در ماه سپتامبر به شرح زیر است: 
  • MS14-052: مهم‌ترین بولتن این ماه با درجه‌ی اهمیت بحرانی مربوط به مرورگر IE، به گفته‌ی کارشناسان مایکروسافت سعی کرده است امکان شناسایی نرم‌افزار‌های امنیتی در حال اجرا را برای مهاجم محدود کند. درواقع یک وب‌گاه آلوده از طریق آسیب‌پذیری‌های IE نیز می‌توانست بررسی کنید چه محصولات ضدبدافزاری در سامانه در حال اجرا هستند. 
  • MS14-054:  رفع آسیب‌پذیری‌های مربوط به افزایش مجوز دست‌رسی در Task Scheduler ویندوز. آسیب‌پذیری‌های مذکور در نسخه‌های windows 8 و windows 8.1 و هم‌چنین  Windows Server 2012 وجود داشته است. در صوتر سوء‌استفاده از این آسیب‌پذیری مهاجم می‌تواند کنترل کامل سامانه را به دست بگیرد که در نسخه‌های کارگزار ویندوز بسیار خطرناک است. 
  • MS14-053: رفع آسیب‌پذیری انسداد سرویس در چارچوب NET. که در غالب نسخه‌های این محصول وجود دارد و هم‌چنین در صورت نصب ASP.NET در سامانه‌های IIS نیز آسیب‌پذیری وجود خواهد داشت. 
  • MS14-055: وصله‌ی 3 آسیب‌پذیری انسداد سرویس در کارگزار پیام‌رسانی مایکروسافت به نام Lync
 

انتشار گوگل‌کروم 36 و رفع 12 آسیب‌پذیری این محصول

گوگل با انتشار نسخه‌ی جدید مروگر خود، 12 آسیب‌پذیری این محصول شامل یک آسیب‌پذیری جدی افشای اطلاعات و یک آسیب‌پذیری استفاده از حافظه پس از آزادسازی1 را که ممکن بود منجر به افشای اطلاعات یا اجرای کد مخرب شود، وصله کرده است. 

 محقق فرانسوی به نام Antoine Delignat-Lavaud آسیب‌پذیری جدی افشای اطلاعات با شناسه‌ی CVE-2014-3166 را شناسایی کرده است، این آسیب‌پذیری مربوط به پروتکل SPDY، یک پروتکل شبکه‌ای که محتوای وب را منتقل می‌کند، می‌باشد. مطابق اطلاعات منتشرشده از این آسیب‌پذیری که در پایگاه‌داده‌ی ملی آسیب‌پذیری‌های آمریکا یا NVD2 موجود است، این آسیب‌پذیری که در تمام سامانه‌عامل‌های ویندوز، OS X، لینوکس و اندروید موجود است، مربوط به نحوه‌ی پیاده‌سازی PKP این مرورگر به صورتی است که نمی‌تواند SPDY را مدیریت کند. این آسیب‌پذیری ممکن است به مهاجم این امکان را دهد که با سوء‌استفاده از چندین نام دامنه به سرقت اطلاعات کاربر بپردازد. 

 با وجود این‌که هنوز هیچ روش سوء‌استفاده‌ی عمومی از این آسیب‌پذیری کشف نشده، اما در صورتی که مهاجم قصد حمله به این آسیب‌پذیری را داشته باشد می‌تواند کد سوء‌استفاده را در کارگزار‌های مختلف قرار دهد و سپس از راه دور به استفاده از آسیب‌پذیری مروگر کروم بپردازد. 

 طبق گزارشی که محقق منتشر کرده، این ویژگی مرورگر کروم نزدیک به 2 سال است که دارای اشکال امنیتی مذکور است، این محقق هم‌چنین گفته است به علت عدم وجود وصله‌ی مناسب در مورد روش سوء‌استفاده ی احتمالی در کنرفانس بلک‌هت سخنر‌انی نکرده است. کنفرانس بلک‌هت اواخر هفته‌ی گذشته در لاس‌وگاس برگزار شده بود. 

 Delignat-Lavaud پیش‌تر نیز آسیب‌پذیری‌های مهمی از جمله اشکال امنیتی SSL که منجر به حملات مرد میانی می‌شود، را در مرورگر کروم کشف کرده بود. 

 نسخه‌های قدیمی‌تر از 36.0.1985.122 هنوز در مقابل آسیب‌پذیری امنیتی افشای اطلاعات آسیب‌پذیر هستند، به کاربران توصیه می‌شود آخرین نسخه‌ی مرورگر کروم یعنی نسخه‌ی 36.0.1985.143 را دریافت کنند که همراه به به‌روزرسانی فلش‌پلیر نیز می‌باشد. 

وب‌گاه فناوری اطلاعات و ارتباطات به کاربران توصیه می‌کند که در اسرع وقت این مرورگر را به‌روز کنند تا از خطر آسیب‌پذیری‌های موسوم به 0.5 که پس از معرفی وصله‌های امنیتی به دست مهاجمان می‌رسد، در امان باشند.

 

 
 

آسیب‌پذیری افشای کد و دست‌رسی مدیریتی در دامنه‌ی یاهو

حقق امنیتی به نام Ebrahim Hegazy به‌تازگی در وبلاگ خود در مورد آسیب‌پذیری یکی از زیر‌دامنه‌‌های یاهو مطلبی را منتشر کرده که در مورد دست‌رسی غیرمجاز به پرونده‌های SVN این زیر‌دامنه می‌باشد.

SVN یا سامانه‌ی‌ کنترل نسخه، سازو‌کاری است که تغییراتی که کاربران در پرونده‌های یک پروژه‌ ایجاد می‌کنند را ره‌گیری می‌‌کند و در انواع پروژه‌ها قابل استفاده است، در واقع این سازو‌کار به توسعه‌دهندگان یک پروژه این امکان را می‌دهد تا بدون بروز تداخل، پرونده‌ها را تغییر دهند. 
در سناریویی که محقق برای نفوذ به دامنه‌ی https://tw.user.mall.yahoo.com به‌کار گرفته است، مسیر ذخیره‌سازی پرونده‌های SVN حاوی پرونده‌ای به نام «entries» می‌باشد. محقق گزارش داده است که در حالی‌که دامنه‌ی یاهوی مذکور را بررسی می‌کرده است با مسیر SVN مواجه شده و پرونده‌ی entries را به آن اضافه کرده است: 

 

به‌روز‌رسانی‌های فوری مایکروسافت برای گواهی‌نامه‌های SSL جعلی

مایکروسافت به‌ر‌وز‌رسانی فوری برای همه‌ی نسخه‌های در حال پشتیبانی ویندوز منتشر کرده است که به منظور جلوگیری از سوء استفاده‌های احتمالی از گواهی‌نامه‌های دیجیتال جعلی که برای گوگل و یاهو منتشر شده‌اند، می‌باشد. البته این شرکت هشدار داده است که خطر افشای اطلاعات در مورد سایر دامنه‌ها که دارای گواهی‌نامه‌ی دیجیتال جعلی هستند هم‌چنان باقی‌ است. 

به‌ر‌وز‌رسانی مذکور که پنج‌شنبه‌ی هفته‌ی گذشته به صورت خارج از نوبت منتشر شد، 45 گواهی‌نامه‌ی SSL جعلی که توسط مرکز انفورماتیک هند منتشر شده است را مسدود می‌کند. 
گواهی‌نامه‌های دیجیتال جعلی که توسط مرکز انفورماتیک هند منتشر شده‌اند، توسط برخی نفوذگران که از قبل موفق به نفوذ به رایانه‌های این مرکز شده بودند، ایجاد شده‌اند. در توصیه‌‌نامه‌ی مایکروسافت اشاره شده است که این گواهی‌نامه‌های جعلی به طور عمده کاربران ویندوز را که قصد بازدید از وب‌گاه‌های گوگل و یاهو را دارند، در خطر قرار می‌دهد. 
سوء‌استفاده از آسیب‌پذیری ارتباطات به‌ظاهر رمز‌شده، منجر به افشای اطلاعاتی خواهد شد که کاربر تصور می‌کند به صورت امن منتقل می‌کند و مهاجم با سرقت این اطلاعات می‌تواند حملات فیشینگ و حملات مرد میانی علیه کاربران قربانی ایجاد کند. 
البته این گواهی‌نامه‌های میانی می‌توانند برای ایجاد گواهی‌نامه‌های دیجیتال جعلی برای سایر وب‌گاه‌ها و دامنه‌ها به‌کار روند. 
رایانه‌هایی که نسخه‌های ویندوز 8، ویندوز 8.1، کارگزار 2012، کارگزار R2 2012 و تلفن‌های هوشمندی که نسخه‌های Phone 8 و Phone 8.1 را اجرا می‌کنند به صورت خودکار به‌روز‌رسانی‌های مایکروسافت را دریافت می‌کنند. 
کاربران ویندوز 7،  کارگزار 2008 و کارگزار R2 2005 ممکن است این به‌روز‌رسانی‌های را دریافت نکرده باشند و در صورت عدم دریافت باید از طریق دستور‌العمل مایکروسافت این کار راه دستی انجام دهند. 
هیچ به‌روز‌رسانی در مورد این آسیب‌پذیری برای کارگزار 2003 موجود نیست.
کاربران سامانه‌عامل‌های مک و لینوکس به علت سازو‌کار متفاوتی که در تایید گواهی‌نامه‌های دیجیتال به کار می‌گیرند در مقابل این آسیب‌پذیری مصون هستند.