یک نوع آسیبپذیری که بیش از چهار سال پیش توسط مایکروسافت وصله شده بود، همچنان در حملات بسیاری مورد سوءاستفاده قرار میگیرد. در این حملات مهاجمان سعی در تزریق بدافزار با استفاده از اسناد ساختهشدهی به خصوصی دارند.
این حفره که CVE-۲۰۱۲-۰۱۵۸ نام گرفته است و در آوریل سال ۲۰۱۲ توسط مایکروسافت وصله شد، روی آفیس ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ تأثیر میگذارد. این حفره امنیتی در کتابخانه کنترل مشترک ویندوز وجود دارد و با ترغیب قربانی به باز کردن یک وبگاه یا سند مخرب، به مهاجمان اجازه میدهد هر کدی را اجرا کنند.
طبق گفته محققان در Sophos، حفره CVE-۲۰۱۲-۰۱۵۸ هنوز در سه ماهه آخر سال معروفترین بهرهبردار از آفیس است. با اینکه مهاجمان از حفرههای جدیدتری استفاده میکنند اما هیچکدام از آنها قابلمقایسه با CVE-۲۰۱۲-۰۱۵۸ نمیباشند و به گفته محققان «حفرهای است که نمیمیرد».
محققان معتقدند این آسیبپذیری به چند دلیل بین خرابکاران از محبوبیت بالایی برخوردار است از جمله اینکه بهصورت یک فرمت پرونده بهظاهر بیخطر میتوان از آن استفاده کرد، روی نسخههای بسیاری از آفیس تأثیر میگذارد، تواناییهای قدرتمندی دارد و میتواند از شناسایی توسط برنامههای امنیتی فرار کند.
بررسی کارگزار دستور و کنترل (C&C) مورد استفاده توسط بدافزار intruder ورد مایکروسافت (ابزاری که به مهاجمان اجازه میدهد از طریق پروندههای ورد مخرب بدافزاری را تزریق کنند) نشان میدهد که تقریباً ۴۰ درصد رایانهها در سرتاسر جهان در معرض خطر آسیبپذیری CVE-۲۰۱۲-۰۱۵۸ هستند.
درصد دستگاههای آسیبپذیر در آمریکای شمال و اروپا تنها ۱۵ درصد است، شاید به همین دلیل بهندرت از این آسیبپذیری در عملیات هرزنامه گسترده استفاده میشود. در واقع مهاجمان عمدتاً در حملات هدفدار از آن استفاده میکنند، بهویژه در عملیاتی که روی مناطقی مانند آسیا تمرکز داشته باشد، چرا که بیش از نیمی از رایانهها در این منطقه هنوز آسیبپذیر هستند.
طی چند سال گذشته، مهاجمان از این آسیبپذیری در حملاتی علیه نهادهای آسیایی استفاده کردهاند، ازجمله Lotus Blossom ،Transparent Tribe ،Roaming Tiger و دیگر عملیات جاسوسی سایبری.
آسیبپذیری CVE-۲۰۱۲-۰۱۵۸ همچنین در چندین ژنراتور بهرهبرداری آفیس مانند MNKit و Four Element Sword نیز وجود دارد.
محققان Sphos گفتند: «در واقع، تا وقتیکه کیتهای بهرهبردار آفیس رابطهشان را با آن قطع کنند، بعید است که بهزودی بازگشت CVE-۲۰۱۲-۰۱۵۸ را ببینیم. ادامه استفاده از آن در جهان واقعی این نظریه را که هنوز هم موفقیتهایی دارد قویتر میکند؛ حتی اگر مجبور به تغییر بازی از عملیات هرزنامه به حملات متمرکزتری شود. تا وقتیکه رایانههای آسیبپذیر در جهان وجود دارد، اگر نویسندگان کیتهای بهرهبردار آنها را کنار بگذارند شکبرانگیز خواهد بود».
متخصصان میگویند بهترین جایگزین برای CVE-۲۰۱۲-۰۱۵۸، آسیبپذیریهای CVE-۲۰۱۵-۱۶۴۱ و CVE-۲۰۱۵-۲۵۴۵ است.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.