حفره قدیمی آفیس، هنوز هم آسیب‌پذیر

یک نوع آسیب‌پذیری که بیش از چهار سال پیش توسط مایکروسافت وصله شده‌ بود، همچنان در حملات بسیاری مورد سوءاستفاده قرار می‌گیرد. در این حملات مهاجمان سعی در تزریق بدافزار با استفاده از اسناد ساخته‌شده‌ی به خصوصی دارند.

این حفره که CVE-۲۰۱۲-۰۱۵۸ نام ‌گرفته است و در آوریل سال ۲۰۱۲ توسط مایکروسافت وصله شد، روی آفیس ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ تأثیر می‌گذارد. این حفره امنیتی در کتابخانه کنترل مشترک ویندوز وجود دارد و با ترغیب قربانی به باز کردن یک وب‌گاه یا سند مخرب، به مهاجمان اجازه می‌دهد هر کدی را اجرا کنند.

طبق گفته محققان در Sophos، حفره CVE-۲۰۱۲-۰۱۵۸ هنوز در سه ماهه آخر سال معروف‌ترین بهره‌بردار از آفیس است. با اینکه مهاجمان از حفره‌های جدیدتری استفاده می‌کنند اما هیچ‌کدام از آ‌ن‌ها قابل‌مقایسه با CVE-۲۰۱۲-۰۱۵۸ نمی‌باشند و به گفته محققان «حفره‌ای است که نمی‌میرد».

محققان معتقدند این آسیب‌پذیری به چند دلیل بین خرابکاران از محبوبیت بالایی برخوردار است از جمله اینکه به‌صورت یک فرمت پرونده به‌ظاهر بی‌خطر می‌توان از آن استفاده کرد، روی نسخه‌های بسیاری از آفیس تأثیر می‌گذارد، توانایی‌های قدرتمندی دارد و می‌تواند از شناسایی توسط برنامه‌های امنیتی فرار کند.

بررسی کارگزار دستور و کنترل (C&C) مورد استفاده توسط بدافزار intruder ورد مایکروسافت (ابزاری که به مهاجمان اجازه می‌دهد از طریق پرونده‌های ورد مخرب بدافزاری را تزریق کنند) نشان می‌دهد که تقریباً ۴۰ درصد رایانه‌ها در سرتاسر جهان در معرض خطر آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ هستند.

درصد دستگاه‌های آسیب‌پذیر در آمریکای شمال و اروپا تنها ۱۵ درصد است، شاید به همین دلیل به‌ندرت از این آسیب‌پذیری در عملیات هرزنامه گسترده استفاده می‌شود. در واقع مهاجمان عمدتاً در حملات هدف‌دار از آن استفاده می‌کنند، به‌ویژه در عملیاتی که روی مناطقی مانند آسیا تمرکز داشته باشد، چرا که بیش از نیمی از رایانه‌ها در این منطقه هنوز آسیب‌پذیر هستند.

طی چند سال گذشته، مهاجمان از این آسیب‌پذیری در حملاتی علیه نهادهای آسیایی استفاده کرده‌اند، ازجمله Lotus Blossom ،Transparent Tribe ،Roaming Tiger و دیگر عملیات جاسوسی سایبری.

آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ همچنین در چندین ژنراتور بهره‌برداری آفیس مانند MNKit و Four Element Sword نیز وجود دارد.

محققان Sphos گفتند: «در واقع، تا وقتی‌که کیت‌های بهره‌بردار آفیس رابطه‌شان را با آن قطع کنند، بعید است که به‌زودی بازگشت CVE-۲۰۱۲-۰۱۵۸ را ببینیم. ادامه استفاده از آن در جهان واقعی این نظریه را که هنوز هم موفقیت‌هایی دارد قوی‌تر می‌کند؛ حتی اگر مجبور به تغییر بازی از عملیات هرزنامه به حملات متمرکزتری شود. تا وقتی‌که رایانه‌های آسیب‌پذیر در جهان وجود دارد، اگر نویسندگان کیت‌های بهره‌بردار آن‌ها را کنار بگذارند شک‌برانگیز خواهد بود».

متخصصان می‌گویند بهترین جایگزین برای CVE-۲۰۱۲-۰۱۵۸، آسیب‌پذیری‌های CVE-۲۰۱۵-۱۶۴۱ و CVE-۲۰۱۵-۲۵۴۵ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.