معرفی و بحث در مورد دو نمونه از بهره‌برداری‌های معروف محصولات Microsoft Office

یکی از خبرهای معروف حوزه رایانه و اینترنت در ماه‌های گذشته، خبر وجود دو نقطه آسیب‌پذیری در محصولات Microsoft Office است. این دو نقطه آسیب‌پذیری دارای کدهای شناسایی CVE-۲۰۱۵-۱۶۴۱ و CVE-۲۰۱۵-۲۵۴۵ هستند و طراحان کیت‌های Office برای رفع این نقاط، به تازگی اقدام به به‌روزرسانی آن‌ها و همچنین ارائه خدمات پشتیبانی لازم کرده‌اند.

علاوه بر این، گروه‌های انجام حملات و خطرهای پیشرفته و مستمر (APT) و همچنین گروه‌های جرائم فضای مجازی بیش از چهار سال است که از نقطه آسیب‌پذیری با کد شناسایی CVE-۲۰۱۲-۰۱۵۸، سوءاستفاده‌های ممکن را انجام می‌دهند. این نقطه آسیب‌پذیری در واقع، ضعف بخش‌های برنامه Office در جلوگیری از سوءاستفاده از پرونده‌های ActiveX و در نتیجه آلوده کردن بخش‌های مختلف سامانه با استفاده از یک بدافزار است.

استفاده نفوذگران از چنین نقطه قدیمی و تقریباً منسوخ شده، باعث سردرگمی و تعجب بسیاری از متخصصان شرکت infosec شد، زیرا بیش از سه یا چهار سال از زمان کشف این نقطه می‌گذشت.

در بهار امسال، این نقطه آسیب‌پذیری به تدریج از پویش‌های هرزنامه‌ای و بدافزاری خارج‌ شده و دو نقطه آسیب‌پذیری جدید دیگر در این پویش‌ها مطرح شد.

طبق گزارش جدید منتشر شده از گاربر زاپانوس، کارشناس شرکت Sophos Labs، سوءاستفاده نفوذگران از دو نقطه آسیب‌پذیری جدید، با به‌روزرسانی‌های برنامه‌های Office بی‌ارتباط نیست. در حقیقت، با حذف پشتیبانی‌های لازم برای نقطه آسیب‌پذیری قدیمی، زمینه ایجاد دو نقطه آسیب‌پذیری جدید فراهم‌ شده است.

کیت‌های بهره‌برداری Office، در حقیقت برنامه‌های از پیش آماده‌ شده‌ای هستند که فرآیندهای ساخت پرونده‌های مخرب Office را به صورت خودکار ترتیب می‌دهند و این فرآیندها نیز می‌توانند با استفاده از نقاط آسیب‌پذیری امنیتی، بدافزارها را روی یک دستگاه فعال کنند. این کیت‌ها مانند دیگر کیت‌های بهره‌برداری هستند، اما از آن‌ها در طراحی و ساخت پرونده‌های مخرب Word ،Excel و PowerPoint استفاده می‌شود.

زاپانوس در ادامه بیان کرد که سه کیت مهم در بازار کیت‌های بهره‌برداری Office، یعنی AK-۱،DL-۲ و MWI طی ماه‌های گذشته به‌روزرسانی شده‌اند.

کیت AK-۱ پس از به‌روزرسانی AK-۲ نامیده شد و در طول فرآیند به‌روزرسانی، نقطه آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ را رفع و در طرف مقابل باعث ایجاد نقطه CVE-۲۰۱۵-۱۶۴۱ شد.

عنصر DL-۲ که کیت بهره‌برداری مورد استفاده گروه‌های خرابکاری Fareit و Zbot بود، از نقطه آسیب‌پذیری CVE-۲۰۱۵-۲۵۴۵ استفاده می‌کرد.

MWI نیز با قطع استفاده از نقطه CVE-۲۰۱۲-۰۱۵۸، نقطه CVE-۲۰۱۵-۱۶۴۱ را جایگزین کرد.

دلیل بروز این اتفاقات ساده است. همان‌طور که بازار محصولات XP رونق خود را از دست داد، استفاده از نقطه CVE-۲۰۱۲-۰۱۵۸ نیز کاهش پیدا کرد. تغییر استفاده این کیت‌های بهره‌برداری و استفاده از نقطه‌های آسیب‌پذیری جدیدتر نیز به خوبی از نظر فنی و تخصصی قابل‌تحلیل و بررسی است.

قبلاً نیز در یک سری مقاله، افزایش استفاده از نقطه CVE-۲۰۱۵-۲۵۴۵ توسط گروه‌های تخریب سایبری پیش‌بینی ‌شده بود. این نقطه آسیب‌پذیری به نفوذ گران امکان می‌دهد بار داده پست اسکریپت‌های کپسوله‌شده مخرب را به صورت پرونده‌هایی مانند تصاویر، در میان پرونده‌های Office قرار دهند. این نقطه آسیب‌پذیری در نسخه‌های ۲۰۰۷ SP۳ ۲۰۱۳ ، ۲۰۱۰ SP۲ ، SP۱ و ۲۰۱۳ RT SP۱ وجود دارد و جدیداً نه تنها توسط گروه‌های خطرات و تهدیدهای پیشرفته و مستمر، بلکه توسط گروه‌های جرائم سایبری نیز مورد استفاده قرار گرفته است.

از طرف دیگر، نقطه CVE-۲۰۱۵-۱۶۴۱ نیز طبق مشاهدات برخی شرکت‌های امنیتی، در تعداد کمی از حملات گروه‌های تهدیدات پیوسته مشاهده‌ شده است، اما شرکت Sophos در تحقیقات خود متوجه شده است که بهره‌برداری‌های رخ ‌داده از این نقطه، مورد توجه گروه‌های جرائم مجازی است که در بسیاری از رایانامه‌های دارای هرزنامه مشاهده‌ شده است.

نقطه CVE-۲۰۱۵-۱۶۴۱ را می‌توان به راحتی شناسایی کرد، زیرا این نقطه فقط از طریق پرونده‌های RTF قابل‌استفاده و اجراست. بهره‌برداری‌های ممکن از این نقطه را می‌توان در بخش‌های Microsoft Word ۲۰۰۷ SP۳ ،Office ۲۰۱۰ SP۲ ،Word ۲۰۱۰ SP۲ Word ۲۰۱۳ SP۱ ،Word ۲۰۱۳ RT SP۱ ،Word for Mac ۲۰۱۱، بسته سازگاری SP۳ محصولات Office، نسخه‌های ۲۰۱۰ SP۲ و ۲۰۱۳ SP۱، خدمات خودکارسازی Office در کارگزار SharePoint و همچنین نسخه‌های ۲۰۱۰ SP۲ و ۲۰۱۳ SP۱ کارگزار برنامه‌های Office مشاهده کرد.

نمودار زیر که بر اساس اطلاعات داخلی شرکت Sophos به‌دست ‌آمده است، نشان‌دهنده معروفیت بالای بهره‌برداری‌های رخ‌داده از نقطه آسیب‌پذیری CVE-۲۰۱۵-۱۶۴۱ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]