حملات جدید به سیلورلایت توسط بسته‌ی نفوذی Angler

بهره‌برداری از یک آسیب‌پذیری در نرم‌افزار سیلورلایتِ مایکروسافت از سوی بسته‌ی خطرناک Angler، بیش از یک ماه بعد از این‌که این حفره پوشش داده شده است، دیده می‌شود.
محقق امنیتی فرانسوی به نام کافئین می‌گوید که او قادر بوده است تا تأیید مستقلی از محققان آزمایشگاه کسپرسکی دریافت کند مبنی بر این‌که این بسته‌ی نفوذی به آسیب‌پذیری CVE-۲۰۱۶-۰۰۳۴ حمله می‌کند، که به وسیله‌ی مایکروسافت در بولتن MS۱۶-۰۰۶ به عنوان بخشی از اصلاحیه‌های سه‌شنبه‌های ماه ژانویه اصلاح شده بود.
این چرخش سریع نه تنها توسط کافئین بلکه توسط محققان کسپرسکی نیز قابل پیش‌بنی شده بود که این حفره را برای مایکروسافت افشاء کردند و این شرکت کمی بعد آن را اصلاح کرد.
گفته شده است که آن‌ها این حفره را در حملات هدف‌مند محدودی مشاهده کرده‌اند و هشدار داده‌اند که زمان زیادی طول نخواهد کشید که این حفره شیوع پیدا کند.
محقق امنیتی کسپرسکی، برایان بارتولوم می‌گوید: «این موضوع مهمی است؛ آسیب‌پذیری سیلورلایت معمولاً خیلی شایع نیست. بهره‌برداری از یک آسیب‌پذیری روز صفرم به نوبه‌ی خود کاری بسیار فنی است، اما هنگامی که یک مورد اثبات مفهومی به دست کسی می‌افتد که می‌داند چگونه باید از آن استفاده کند، با استفاده از مهندسی معکوس اصلاحیه را برمی‌گرداند و آن‌گاه برای او مشکل نیست که یک نسخه‌ از آن را ایجاد کند.»
کافئین یک جدول زمانی مربوط به یکپارچه‌سازی بسته‌ی Angler را برای حمله به سیلورلایت ارائه کرد، که به تازگی شروع شده و در آن کدی قرار گرفته که منجر به پاسخ جدیدی از سیلورلایت، در صورتی که بر روی یک رایانه‌ی آسیب‌دیده نصب بود، می‌شد. از این فراخوانی‌ها در حملات مربوط به باج‌افزار TeslaCrypt نیز دیده شده‌اند.

۱۱-Incontent
آسیب‌پذیری‌های سیلورلایت و بهره‌برداری‌های از آن، به اندازه‌ی حملات مشابهی که از ادوبی فلش‌پلیر استفاده می‌کنند، شایع نیستند اما هنوز هم مهاجمان برای بهره‌برداری از آن‌ها تلاش می‌کنند.
کافئین می‌گوید: «این علاقه‌مندی است که همه‌جا وجود دارد و منطقاً به صورت گسترده‌ای استفاده می‌شود، چرا که قابل بهره‌برداری است و بعد از به خطر افتادن سامانه به اجرای کد از راه دور اجازه می‌دهد.»
بر اساس گفته‌های مایکروسافت، این آسیب‌پذیری دری را برای اجرای کد از راه دور باز می‌کند و بر مایکروسافت سیلورلایت ۵و Microsoft Silverlight ۵ Developer Runtime تأثیر دارد؛ نسخه‌هایی که بعد از ۵.۱.۴۱۲۱۲.۰ ارائه شده‌اند در معرض خطر این آسیب‌پذیری قرار ندارند.
بسته‌های نفوذی، که در میان آن‌ها Angler یکی از فعال‌ترین است و به صورت گسترده‌ای برای استفاده به‌روز می‌شود، وب‌‌گاه‌‌ها را به شیوه‌های مختلف آلوده می‌کنند. کاربرانی که به این وب‌‌گاه‌‌ها مراجعه می‌کنند و از مرورگر خود که معمولاً اینترنت اکسپلورر است استفاده می‌کنند، آلوده می‌شوند و با اجرای iframe به وب‌گاه‌‌هایی که در کنترل مهاجمان است تغییر مسیر داده می‌شوند و دیگر بدافزارها، در اینجا باج‌افزارها، بر روی سامانه‌ی آن‌ها نصب می‌شود.
آسیب‌پذیری سیلورلایت به مهاجم کمک می‌کند که یک جای پای اولیه‌ی محکم را در سامانه‌ی در معرض خطر پیدا کند. از اینجا سایر محموله‌های بدافزاری برای آلوده کردن رایانه وارد می‌شوند که موجب خسارت به داده‌های حساس شده و بعدها نفوذگران به شبکه رخنه می‌کنند.
این حفره خاص دارای داستانی جالب است که تیم تجزیه و تحلیل محققان شرکت جهانی کسپرسکی در ماه ژانویه آن را بیان کردند.
کاستین رایو و آنتون ایوانو این حفره را پس از بررسی داده‌های مربوط به نفوذی که در تابستان انجام شده بود، پیدا کردند. با توجه به رایانامه‌ای که از نفوذگر روس به نام ویتالی تروپوف به این تیم نفوذگر ارسال شده بود، محققان تصمیم گرفتند که ادعاهای تروپوف را مبنی بر فروش یک آسیب‌پذیری روز صفرم که دست کم دو سال از سال ۲۰۱۳ وجود دارد، پیگیری کنند؛ او گفته بود که این آسیب‌پذیری می‌تواند چند سال دیگر نیز بدون این‌که کشف شود، به حیات خود ادامه دهد.
این محققان یک بهره‌برداری قدیمی‌تر از سیلورلایت را پیدا کردند که به وسیله‌ی تروپوف به Packet Storm ارائه شده بود، یک قاعد‌ه‌ی YARA برای آن نوشتند به مشتریان کسپرسکی توزیع کردند. این قاعده مورد حمله قرار نگرفته بود تا این‌که در ماه نوامبر یک بهره‌برداری، کمی بعد از این‌که نفوذ این تیم نفوذگر علنی شد، از آن صورت گرفت.
محققان شرکت کسپرسکی مطمئن نیستند که آیا این بهره‌برداری همان نوع بهره‌برداری است که در داده‌های مربوط به تیم نفوذگر کشف شد و یا یک مورد جدید است که بعد از آن نوشته شده است. بارتولوم از کسپرسکی نوشته است که مشترکات منحصربه‌فردی از نشانه‌های تروپوف در هر دو نمونه وجود دارد.
بارتولوم می‌گوید: «افراد زیادی نیستند که بتوانند آسیب‌پذیری روز صفرم سیلورلایت را بنویسند، بنابراین محدوده‌ی اتهام به صورت قابل‌توجهی باریک است. در صدر همه‌ی این‌ها، برخی از رشته‌های خطا وجود دارند که در بهره‌برداری قدیمی آن از سال ۲۰۱۳ مورد استفاده قرار گرفته‌اند که به آن اشاره کردیم و گفته شد که این‌ها منحصربه‌فرد هستند. این‌ها اساس قاعده‌ای بودند که ما ساخته بودیم.»
«این بهره‌بردای شامل همان رشته‌های خطا می‌شوند که یک شناسه‌ی نرم‌افزاری .net است که در مورد قبلی استفاده می‌شد. هر بار که شما یک نرم‌افزار جدید .net می‌سازد، شما یک شناسه‌ی جدید را دریافت می‌کنید. این همان شناسه‌ی قبلی است. همه‌ی این موارد به توده‌ای از شاخصه‌هایی که به آن اشاره می‌کنند، اضافه می‌شوند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.