آسیب‌پذیری CVE-Zombie نمی‌خواهد از بین برود!

اگر یک آسیب‌پذیری در سال ۲۰۱۱ با یک شناسه‌ی CVE مشخص شده باشد و در سال ۲۰۱۲ با ارائه‌ی یک وصله، اصلاح شده باشد، انتظار بر این است که مدت‌ها پیش از بین رفته باشد. اما چرا آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ نه‌تنها زنده است بلکه هنوز هم به‌شدت استفاده می‌شود؟

در یک مقاله‌ی تحقیقی با عنوان «کالبدشکافی یک بهره‌برداری پرکار» یکی از محققان شرکت Sophos به نام گراهام چنتری می‌گوید: «اگر شما یک محقق تهدید باتجربه باشید و یا یک خواننده‌ی وبلاگ امنیتی مشتاق باشید و یا اینکه تنها یک ضمیمه‌ی آلوده اسناد آفیس دریافت کرده باشید؛ به‌ احتمال ‌زیاد به شکلی به آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ برخورد کرده‌اید» و او اشتباه نمی‌کند.

نه‌تنها این نوع خاص آسیب‌پذیری مایکروسافت ورد نمی‌خواهد از بین برود، بلکه یکی از فعال‌ترین آسیب‌پذیری‌های قابل بهره‌برداری در میان خانواده‌های ورد است.

چه چیزی موجب این موضوع شده است، چرا مجرمان هنوز از آن استفاده می‌کنند و چه مطلب خاصی در آن وجود دارد که هنوز هم به‌عنوان یک زامبی موفق عمل می‌کند؟

تاد بردسلی مدیر ارشد تحقیقات امنیتی شرکت Rapid ۷ می‌گوید: «دو قابلیت جذاب در این‌گونه خانواده‌های بدافزاری نظیر CVE-۲۰۱۲-۰۱۵۸ وجود دارد. اول اینکه ظرفیت بهره‌برداری مخفی تعبیه‌شده در پرونده‌های RTF بسیار زیاد است و آن‌هم به خاطر پشتیبانی فراوان RTF و OLE از قالب‌های گوناگون و فراوان است که در نتیجه می‌تواند فضای تصادفی فراوان و دیگر موضوعات ناخواسته را ایجاد کند. این موضوع بدان معناست که حتی اگر دفاع‌های خطی قادر باشند تا RTF و OLE را تجزیه کنند، بازهم آن‌ها نمی‌توانند همه‌ی انواع ممکن آن را تشخیص دهند».

دوم اینکه این کار برای مهاجمان هزینه‌ای ندارد چرا که می‌توانند از این آسیب‌پذیری در کنار سایر موارد بهره‌برداری کنند؛ زیرا این آسیب‌پذیری مانع از این نمی‌شود که نتوان از سایر آسیب‌پذیری‌ها استفاده کرد و مهاجم به شکل قابل‌توجهی به‌اندازه پرونده و دیگر ملاحظات دیگر محدود نیست.

بردسلی نتیجه می‌گیرد: «فن‌های بهره‌برداری و ابهام آن‌قدر قدیمی هستند که کاملاً مشهور بوده و به‌صورت گسترده به کار روند؛ بنابراین اگر یک مهاجم در وضعیتی باشد که بتواند با دو بهره‌برداری به یک هدف حمله کند، دلیلی ندارد که سه، یا ده و یا صد بهره‌برداری استفاده نکند».

این موضوع موجب می‌شود تا ما بپرسیم که چه چیزی در پاسخ گروه‌های امنیت صنایع امنیتی غایب است؟ آیا سازندگان می‌توانند کار بیشتری برای از بین بردن این تهدیدها انجام دهند و یا سرزنش اصلی متوجه کاربر نهایی است؟

سیمون کراسبی مدیرعامل و یکی از بنیان‌گذاران شرکت برومیوم به securityweek.com گفته است که نه کاربر نهایی و شرکت‌های قدیمی امنیتی را نباید سرزنش کرد. «حمله‌ای که در یک سند جاسازی‌شده باشد، ‌می‌تواند به‌سرعت تنوع زیادی پیدا کند، بسیار سریع‌تر از آنکه فروشندگان ضد بدافزار بتوانند امضاء‌ها را تولید کنند. آنچه که نیاز است، رویکردی است که در آن بتوان ‌همه‌ی اسناد غیرقابل اطمینان را جداسازی کرد و درعین‌حال تجربه‌ی کار برای کاربر تغییر پیدا نکند». و یا اینکه کاربر نهایی باید در طی چهار سال گذشته نرم‌افزار ورد را وصله کرده باشد.

و آیا این کار آسان است؟ جرمی گروسمن، ریاست بخش استراتژی امنیت در SentinelOne این‌طور فکر نمی‌کند. او می‌گوید: «وصله کردن به‌موقع و جامع نرم‌افزار چه برای شرکت‌ها و چه مشتریان کاری بسیار عظیم است و مشکلی طولانی‌مدت است چرا که بر تمام بخش امنیت اطلاعات سازمان تأثیر می‌گذارد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.