انتشار Adobe Flash Player ۲۲.۰.۰.۱۹۲ و وصله آسیب‌پذیری‌ روز-صفرم

شرکت ادوبی نسخه Adobe Flasher ۲۲.۰.۰.۱۹۲ را منتشر کرد تا آسیب‌پذیری‌ روز-صفرم این نرم‌افزار را که به‌وسیله‌ی یک گروه ATP به نام ScarCruft برای حمله به اهداف سطح بالا مورد بهره‌برداری قرار گرفته بود، وصله کند.
این حفره‌ی فلش پلیر (CVE-۲۰۱۶-۴۱۷۱) بر نسخه‌های ۲۱.۰.۰.۲۴۲ و قبل‌تر این نرم‌افزار در سامانه عامل‌های ویندوز،‌ مک،‌ لینوکس و کروم تأثیر می‌گذارد و به گفته‌ی شرکت کسپرسکی عوامل تهدیدی که پشت «عملیات سپیده‌دم »‌ بوده‌اند از آن برای حمله به اهداف خود در ماه مارس ۲۰۱۶ استفاده کرده‌اند.

به گفته‌ی شرکت کسپرسکی، ‌گروه تهدید پیشرفته‌ی ScarCruft از این آسیب‌پذیری روز-صفرم در مجموعه‌ای از حملات سطح بالا علیه نهادهایی در روسیه، نپال، کره جنوبی، چین، کوین،‌ هند و رومانی استفاده کرده‌اند.
کاستن رایو، مدیر گروه تجزیه و تحلیل و بررسی بین‌المللی شرکت کسپرسکی توضیح داده است: «در حال حاضر این گروه درگیر دو عملیات هستند، عملیات سپیده‌دم و عملیات برزخ. به نظر می‌رسد که اولین عملیات یا عملیات سپیده‌دم، به‌وسیله‌ی این گروه در مارس ۲۰۱۶ انجام شده باشد و در آن یک آسیب‌پذیری نامشخص (روز-صفرم) از نرم‌افزار فلش پلیر مورد بهره‌برداری قرار گرفته است که بر اهداف سطح بالا تمرکز داشته است. عملیات دوم یا عملیات برزخ از یک آسیب‌پذیری قدیمی تر با شناسه CVE-۲۰۱۶-۴۱۱۷ و حفره‌ watering hole بهره برده است. همچنین ممکن است که این گروه از یک آسیب‌پذیری روز-صفرم دیگر با شناسه CVE-۲۰۱۶-۰۱۴۷ که در ماه آوریل وصله شده است، نیز استفاده کرده باشند».

نسخه‌ی جدید در مجموع ۳۶ حفره را که ممکن است توسط نفوذگران برای اجرای کد دلخواه و افشای اطلاعات قربانی مورد بهره‌برداری قرار گیرند، وصله کرده است.
این حفره‌ها توسط کارشناسان امنیت از شرکت‌های سیسکو، فایرآی، گوگل، کسپرسکی، مایکروسافت، Pangu، Qihpp ۳۶۰ و Tencent گزارش شده است.
فهرست حفره‌هایی که وصله شده‌اند شامل حفره‌هایی از نوع استفاده بعد از آزادسازی، مسیر جستجوی پوشه، پشته سرریز بافر و (SOC) می‌باشند.

گروه تهدید پیشرفته‌ی ScarCruft همچنین از یک آسیب‌پذیری CVE-۲۰۱۶-۰۱۴۷ در خدمات (XML Core Service (MSXML نیز که بر ویندوز مایکروسافت تأثیر می‌گذارد، ‌بهره برده است. این حفره،‌ می‌تواند از طریق اینترنت اکسپلورر مورد بهره‌برداری قرار گیرد، اگرچه مایکروسافت آن را در ماه آوریل وصله کرده است، اما نفوذگران قبل از این تاریخ از این حفره بهره‌برداری کرده‌اند.
ایوانوف و رایو در وبلاگ خود که در SecureList منتشر شده است نوشته‌اند: «می‌دانیم که سامانه‌های ضدبدافزار بر اساس عملکردهای خاصی از سامانه به واکنش می‌پردازند که نرم‌افزارهای بالقوه آسیب‌پذیر را فراخوانی می‌کنند تا یک تجزیه و تحلیل عمیق‌تر از API ها نظیر CreateProcess, WinExec و یا ShellExecute انجام دهند. برای مثال، چنین فناوری‌های دفاعی در صورتی تحریک می‌شوند که یک نرم‌افزار آسیب‌پذیر مانند فلش‌پلیر سایر نرم‌افزارهای نامعتبر، مفسرهای اسکریپت و یا حتی دستورات کنسول را شروع به فعالیت نماید. برای اجرای بار داده که بتواند از دید این سامانه‌های دفاعی مخفی بماند، عوامل مخرب از رابط کاربری Winsows DDE به شیوه‌ای کاملاً هوشمندانه استفاده می‌کنند».

به گفته‌ی کارشناسان شرکت کسپرسکی، این کد مخرب (HEUR:Trojan.Win۳۲.ScarCruft.gen) که به‌وسیله‌ی این عوامل تهدید در عملیات سپیده‌دم استفاده شده است «به‌شدت نادر» است و احتمالاً تنها برای حملات موشکافانه استفاده می‌شود.
کارشناسان کسپرسکی گفته‌اند که بهره‌برداری از فلش پلیر در عمل به صورت پیوسته‌ای کمتر می‌شود، چرا که برای آن نیاز به یک بهره‌برداری گذر از جعبه شنی نیز هست، علاوه بر این شرکت ادوبی تلاش‌های فراوانی را به کار بسته تا با تمهیدات به کار رفته در این نرم‌افزار، بهره‌برداری از آن را هر چه بیشتر مشکل کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.