ماجرای عجیب آسیب‌پذیری روز صفرم نرم‌افزار سیلورلایت

مشکلات آسیب‌پذیری‌های مایکروسافت سیلورلایت به شدتِ حفره‌ها و مشکلات نرم‌افزارهای ادوبی فلش نیستند، اما این موضوع بدان معنی نیست که این آسیب‌پذیری‌ها کم‌ارزش بوده و یا باید نادیده گرفته شوند.
مایکروسافت روز سه‌شنبه یک نقص مهم را در چارچوب این نرم‌افزار اصلاح کرد و محققان تیم تحقیقات و تجزیه و تحلیل آزمایشگاه کسپرسکی هشدار داده‌اند که در صورتی که این نقص مورد سوءاستفاده قرار گیرد، – برخلاف اطلاعات ارائه شده در خبرنامه‌ی مایکروسافت- ممکن است در زمان مناسب به خطری مهم تبدیل شود.
پژوهش‌گر کسپرسکی، Brian Bartholomew می‌گوید: «این یک موضوع بزرگ است، آسیب‌پذیری سیلورلایت خیلی مطرح نمی‌شود. بسته‌ی نفوذی روز صفرم به خودی خود موضوعی نسبتاً فنی است، اما هنگامی که در یک بحث اثبات مفهومی کسی با استفاده از مهندسی معکوس تلاش کند که یک نسخه از آن را برای حمله و آسیب بسازد موضوع کمی پیچیده می‌شود.»
این بدان معناست که در کوتاه مدت، بهره‌برداری از حملات هدفمند توسط بازیگران پیچیده به احتمال زیاد به وسیله‌ی بسته‌های نفوذی پیشرفته‌ای صورت می‌گیرد که در عملیات مجرمانه مورد استفاده قرار می‌گیرند.
Costin Raiu و Anton Ivano از شرکت کسپرسکی این حفره را بعد از انجام چند آزمایش تشخیصی با تیم نفوذگران خود به شرکت مایکروسافت گزارش دادند. بعد از ارسال یک رایانامه از سوی یک نفوذگر روسی به نامVitaliy Toropov، به این تیم تحقیقاتی نفوذگران که در جولای به وسیله‌ی Ars Technica منتشر شد، محققان کسپرسکی تصمیم گرفتند تا ادعای Toropov را مبنی بر این‌که او یک آسیب‌پذیری از نوع روز صفرم را در سیلورلایت برای فروش دارد، پیگیری کنند،‌ این ادعا عنوان می‌کرد که این آسیب‌پذیری دست کم از سال ۲۰۱۳ بدون این‌که کشف شود وجود داشته است.
این اشکالات سیلورلایت همچون نقص‌های امنیتی در فلش، به مهاجمان اجازه می‌دهند که به قربانیان بدون توجه به سامانه‌ی عامل و یا مرورگری که با آن کار می‌کنند، حمله کنند. در حال حاضر Bartholomew از شرکت کسپرسکی می‌گوید که این حملات فقط در ویندوز مشاهده شده‌اند، اما با انجام ترفندهایی این احتمال وجود دارد که این حملات را بتوان برای سامانه‌های عامل Mac OS X و دیگر سامانه‌های عامل‌ گسترش داد. به طور کلی، قربانیان از طریق پیوندی در ایمیل فیشینگ و یا وداشتن به دانلود فایل، مورد حمله قرار می‌گیرند، و در آن مهاجمان یک نرم‌افزار سیلورلایت آلوده را بر روی کارگزار آسیب‌پذیر بارگذاری می‌کنند.
Bartholomew به Threatpost گفته است که محققان کسپرسکی قادر به پیدا کردن بسته‌ی نفوذی مربوط به یک آسیب‌پذیری اثبات مفهومی قدیمی سیلورلایت هستند که به Packet Storm ارائه شده و مورد تأیید Toropov قرار گرفته است. این بایگانی برای بارگیری قرار داده شده بود و شامل منابع کافی برای محققان کسپرسکی بود تا در تابستان یک قاعده‌ی YARA برای نوعی از DLL که در این بسته‌ی نفوذی مورد استفاده قرار می‌گیرد، بنویسند.
این قاعده بر سامانه‌های مشتریان کسپرسکی پیاده‌سازی شد و تا اواخر ماه نوامبر هیچ حمله‌ای به آن صورت نگرفت. اما در تاریخ ۲۵ نوامبر ماجرا عوض شد و آن هنگامی بود که از سال ۲۰۱۳ در سامانه‌ی یکی از کاربران کشف شدن یکی از این بسته‌ها اعلام شد. این پرونده در تاریخ ۲۱ جولای نوشته شده بود، کمتر از دو هفته پس از این‌که نفوذ تیم نفوذگرها اعلام شده و داده‌ها در حمله‌ای برخط به سرقت رفتند. کسپرسکی در مقاله‌ای که برای تحلیل فنی این آسیب‌پذیری انتشار داده بود نوشت: «حمله‌ی روز صفرم مورد تحلیل قرار گرفته و امروز به شرکت مایکروسافت اعلام شد.»
این آسیب‌پذیری به یک مهاجم کمک می‌کند با استفاده از ردپای اولیه‌، سامانه‌ی قربانی را به خطر بیاندازد. از آنجا، محموله‌های دیگر به رایانه‌ی آلوده فرستاده می‌شوند و موجب از دست رفتن اطلاعات حساس و نفوذ بیشتر به شبکه می‌شوند.
به گفته‌ی مایکروسافت این آسیب‌پذیری دری را برای اجرای کد از راه دور باز می‌کند و بر Microsoft Silverlight ۵ و Microsoft Silverlight ۵ Developer Runtime تأثیر می‌گذارد، نسخه‌های بعد از ۵.۱.۴۱۲۱۲.۰ تحت تأثیر قرار نمی‌گیرند.
در خبرنامه‌ی MS۱۶-۰۰۶ مایکروسافت آمده است:
«هنگامی که مایکرسافت سیلورلایت رشته‌ها را با استفاده از مبدل‌های آلوده رمزگشایی می‌کند، یک آسیب‌پذیری اجرای کد از راه دور آشکار می‌شود که می‌تواند اثراتی منفی بر جای گذاشته و سرآیندهای نامطمئن اشیای سیلورلایت را با محتوای ارائه شده از سوی مهاجم جایگزین کند. زمانی که این کار بر روی یک مرورگر شبکه انجام می‌شود، مهاجمی که موفق به بهره‌برداری از این حفره شود می‌تواند همان اجازه‌ای را داشته باشد که کاربری که در حال کار کردن با سامانه است؛ دارد.»
سؤالی که باقی می‌ماند این است که آیا این آسیب‌پذیری روز صفرم همان است که توسط تیم نفوذگری که Toropov سعی کرد بود با آن‌ها معامله کند کشف شده است یا این‌که یک آسیب‌پذیری جدید است؟ در این مورد مثلاً Bartholomew گفته است که مشترکاتی در هر دو نمونه وجود دارد که برای Toropov منحصربه‌فرد است.
Bartholomew می‌گوید: «تعداد کسانی که آسیب‌پذیری روز صفرم سیلورلایت را نوشته‌اند زیاد نیست، و بنابراین کار در این حوزه به شکل قابل توجهی محدود است.»
مهم‌تر از همه این‌که برخی از رشته خطاهایی که در بهره‌برداری‌های قدیمی از سال ۲۰۱۳ وجود داشته‌اند، منحصربه‌فرد بوده‌اند. این‌ها اساس کار ما بوده‌اند.
این بهره‌برداری شامل همان رشته‌ خطاهای شناسه‌ی دات‌نت است که در مورد قدیمی نیز وجود داشتند. هر موقع که شما یک برنامه‌ی جدید در دات‌نت می‌سازید، یک شناسه‌ی جدید دریافت می‌کنید. این شناسه همان شناسه‌ی قدیمی است. همه‌ی این‌ها به توده‌ای از مشخصات دیگر می‌پیوندند که به مورد قبلی اشاره می‌کنند.»
تیم نفوذگر در رایانامه‌ی خود به Toropov نشان داد که حاضر است ۲۰ هزار دلار برای این حمله‌ی روز صفرم به او پرداخت کند. شرکت Zerodium فهرست قیمتی را در وب‌گاه خود ارسال کرده است، و در حالی‌که مشخصاً به سیلورلایت اشاره نکرده است، در مورد آسیب‌پذیری اجرای کد از راه دور فلش حدود ۸۰ هزار دلار را در نظر گرفته است.
Bartholomew می‌گوید: «حمله‌ی روز صفرم سیلورلایت یک معامله‌ی بزرگ است، زیرا تأثیر گسترده‌ای داشته و ممکن است استفاده‌های فراوانی داشته باشد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.