مایکروسافت برای بار سوم یک آسیبپذیری قدیمی استاکسنت را وصله کرد که علیرغم بهروزرسانیهای پیشین همچنان مورد بهرهبرداری تبهکاران سایبری است.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
مایکروسافت برای بار سوم یک آسیبپذیری قدیمی استاکسنت را وصله کرد که علیرغم بهروزرسانیهای پیشین همچنان مورد بهرهبرداری تبهکاران سایبری است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یکی از وصلههایی که مایکروسافت به عنوان بخشی از بهروزرسانیهای امنیتی در ماه ژوئن سال ۲۰۱۷ منتشر کرد، نشاندهنده سومین تلاش این شرکت برای برطرف کردن یک آسیبپذیری قدیمی است که توسط بدافزار استاکسنت درسال ۲۰۱۰ میلادی مورد بهرهبرداری قرار گرفته است.
آسیبپذیری اولیه که با شناسه CVE-۲۰۱۰-۲۵۶۸ ردیابی میشود به مهاجم اجازه میدهد تایک کد دلخواه را از راه دور در یک سامانه با استفاده از پروندههای میانبر خاص به کار رفته با پسوند LNK یا PlF اجرا کند.
آسیبپذیری CVE-۲۰۱۰-۲۵۶۸ یکی از چهار آسیبپذیری روز-صفرم است که در حملات استاکسنت ۲۰۱۰ به برنامه هستهای ایران مورد بهرهبرداری قرار گرفتهاست. با وجود اینکه مایکروسافت در آگوست ۲۰۱۰ آن را وصله کرد، یکی از آسیبپذیرترین مواردی است که همچنان توسط مهاجمان سایبری مورد بهرهبرداری و سوءاستفاده قرار میگیرد. در سال ۲۰۱۵ میلادی محققان دریافتند که وصله اولیه مایکروسافت را میتوان دور زد و غول تکنولوژی یک وصله دیگر را منتشر کرد. این نقص که با شناسه CVE-۲۰۱۵-۰۰۹۶ ردیابی شده برای مایکروسافت به صورت یک مسئله کاملاً جدید مورد توجه قرار گرفتهاست.
بر اساس یک مشاورهنامه مرکز هماهنگی CERT در دانشگاه کارنگیملون، فرد دیگری روش جدیدی برای دور زدن وصلههای مایکروسافت برای این آسیبپذیری کشف کردهاست. هیچ اطلاعاتی از کسانی که روش جدید را کشف کردهاند، ارائه نشدهاست. محققان در مشاورهنامه خود گفتند: «وصله اولیه برای CVE-۲۰۱۰-۲۵۶۸ و وصله بعدی آن برای CVE-۲۰۱۵-۰۰۹۶ هر دو ناکافی هستند، زیرا آنها پروندههای LNK را در نظر نمیگیرند که از ویژگیهای SpecialFolderDataBloc یا KnownFolderDataBlock برای مشخص کردن مکان یک پوشه استفاده میکنند. چنین پروندههایی قادر به دور زدن فهرست سفید هستند که در وصله برای آسیبپذیری CVE-۲۰۱۰-۲۵۶۸ اجرا شدهاست.»
در مشاورهنامه همچنین توضیح داده شدهاست: «با متقاعد کردن کاربر برای نمایش یک پرونده میانبر خاص، مهاجم ممکن است بتواند کد دلخواه را با امتیازات کاربر اجرا کند. بسته به سیستمعامل و پیکربندی AutoRun/AutoPlay، میتواند به طور خودکار با اتصال یک دستگاه یواسبی بهرهبرداری اتفاق بیفتد.»
محققان گفتهاند که مایکرسافت با بهروزرسانی امنیتی خود در ماه ژوئن، یک آسیبپذیری جدید راکه با شناسه CVE-۲۰۱۷-۸۴۶۴ ردیابی شده، برطرف کردهاست. بهرهبرداری از این حفره امنیتی ازجمله یک ماژول متااسپلویت درحالحاضر بهطور عمومی در دسترس است.
این سازمان همچنین اشاره کرد که علاوهبر استفاده از وصلههای مایکروسافت، کاربران میتوانند با مسدود کردن اتصالات خروجی بر روی درگاههای TCP و UDP با شمارههای ۱۳۹ و ۴۴۵ از حملات احتمالی جلوگیری کنند. این امر مانع دسترسی دستگاه به کارگزار SMB از راه دور میشود که معمولاً برای به کار بردن آسیبپذیری مورد نیاز است.