آسیب‌پذیری روز-صفرم در اینترنت اکسپلورر، ابزار حمله در کره‌ی جنوبی

مایکروسافت یک آسیب‎پذیری روز-صفرم با شناسه CVE-۲۰۱۶-۰۱۸۹ را در اینترنت اکسپلورر وصله کرده است. این آسیب‎پذیری برای حمله‌ی هدف‌دار علیه کره جنوبی مورد سوءاستفاده قرار گرفته است.
مهاجمان از یک آسیب‎پذیری روز-صفرم در یک حمله‎ی هدف‎دار علیه کره جنوبی سوءاستفاده کرده‌اند. این آسیب‎پذیری خرابی حافظه بر روی ماشین راه دور اینترنت اکسپلورر، ظاهراً بر روی یک وب‌گاه میزبانی می‌شود و مهاجمان با ایمیل‌های فیشینگ و حمله‌ی Water Hole سعی در آلوده کردن سامانه‌ی کاربران دارند.
نکته: (حمله‎ی Water Hole، حمله‌ای که در آن مهاجم بدنبال آلوده کردن گروه مشخصی از کاربران یک وب‌گاه است. این وب‎گاه توسط این گروه کاربری شناخته شده است. هدف از حمله آلوده کردن گروه کاربران و به دست گرفتن کنترل شبکه‌‎‌ای است که این کاربران در آن عضو هستند.)
مایکروسافت در آخرین بروزرسانی خود که سه‌شنبه منتشر شد، این آسیب‎پذیری روز-صفرم را وصله کرد.
مهاجمان قبل از انتشار وصله‌ی این آسیب‌پذیری توسط مایکروسافت، از مزایای آن استفاده کرده‌اند. احتمالاً آن‌ها با استفاده از ایمیل‌های فیشینگ حاوی پیوند به وب‎گاه مهاجم یا با قرار دادن پیوند در وب‌گاه‌های قانونی دیگر و هدایت کاربران به وب‎گاه هدف، این سوءاستفاده را توزیع کرده‌اند.
وب‎گاه هدف و سوءاستفاده کننده حاوی کد جاوا اسکریپت است که پروفایلی از سامانه‌ی کاربران بازدیدکننده از این وب‌گاه را استخراج می‎کند. این کد بررسی می‌کند که آیا سامانه‌ی بازدید کننده یک ماشین مجازی است یا نه؟! همچنین نسخه‌ی اینترنت اکسپلورر و فلش و ویندوز کاربر را نیز استخراج می‌کند.
این اطلاعات در ادامه از طریق URL به یک دامنه‌ی سطح بالا مربوط به کره‌ی جنوبی .co.kr ارسال می‌شود.
کد جاوا اسکریپت در ادامه این سوءاستفاده را در قالب پرونده ویژوال بیسیک تحویل می‌دهد، اگر بهره‌برداری و سوءاستفاده موفق بوده باشد، پرونده‌ی مخربی از یک وب‎گاه با دامنه .co.kr بارگیری می‌شود.
پس از اینکه پرونده‌ی مورد نظر بارگیری شد، کد سوءاستفاده این پرونده را بوسیله‌ی XOR کردن با مقدار ۰x۵۵۱۶۴۹۷۵ رمزگشایی می‎کند. پرونده‌ی رمزگشایی شده سپس در مسیر %Temp%\rund۱۱.dll سامانه ذخیره می‌شود. بار داده‌ی نهایی فعلاً ناشناخته است.
این آسیب‌پذیری روز-صفرم کره‎ی جنوبی را تحت تأثیر قرار داده، چرا که این کشور به استفاده از این مرورگر وب متکی است. در سال ۱۹۹۹ در کره‌ی جنوبی قانون تصویب شد که تمامی سازندگان را ملزم می‌کرد تا با Active X مایکروسافت برای استفاده در رمزنگاری منطقه‌ای SEED در تراکنش‎ها سازگار شوند. اینترنت اکسپلورر تنها مرورگری است که از Active X پشتیبانی می‎کند. از آن زمان کره‌ی جنوبی برنامه‌ریزی کرده تا از این مرورگر کمتر استفاده کند ولی همچنان این کشور به استفاده از این مرورگر وابسته است.
این آسیب‎پذیری تنها یکی از آسیب‎پذیری‎های روز-صفرم است که کره جنوبی را تحت تأثیر قرار داده است. بطور مثال سال گذشته مهاجمان حمله‌ای تحت عنوان Backdoor.Duuzer را ترتیب دادند که سازمان‌های کره جنوبی را هدف قرار داده بود. مهاجمان انواع مختلف Duuzer را با استفاده از حمله‌ی روز-صفرم منتشر کرده بودند که توانست پردازشگر کلمه Hangul را در کره‌ی جنوبی مورد حمله قرار دهد.
انگیزه‌ی بیشتر حملات انجام شده به سازمان‌های کره جنوبی، خرابکاری یا جاسوسی است. مهاجمان به سازمان‌های کره جنوبی حمله می‌کنند تا دسترسی کامل به سامانه‌ها پیدا کنند، اطلاعات حساس و مهم را بدزدند و یا کل حافظه‎ی دیسک سخت را پاک کنند.
راه‎های کاهش تهدیدات آسیب‎پذیری:
کاربران باید در اسرع وقت وصله‎های ارائه شده برای آسیب‎پذیری موجود در اینترنت اکسپلورر را پیاده‌سازی و نصب کنند. همچنین Symantec توصیه می‌کند تا کاربران به اصول زیر پایبند باشند تا از آلودگی سامانه‌ی خود جلوگیری کنند:
•ایمیل‌های مشکوک مخصوصاً ایمیل‌های حاوی پیوند و ضمیمه را حذف کنید. ایمیل‎های فیشینگ در راستای فریب کاربران برای اجرای پرونده‎های مخرب و آلوده بسیار استفاده می‎شوند.
•سامانه‎عامل و تمامی نرم‎افزارهای خود را به‎روز نگه دارید. به‎روزرسانی‎ها همواره حاوی وصله‎های مربوط به آسیب‎پذیری‎های کشف شده است.
•نرم‎افزارهای امنیتی خود را با آخرین نسخه‌های منتشر شده به‎روز نگه دارید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.