info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

سوء استفاده از آسیب‌پذیری که دیر وصله شد!

خلاصه: هفته گذشته در مورد گزارشی در مورد آسیب‌پذیری در نرم‌افزار مایکروسافت ورد منتشر شد که با اینکه مدت زیادی از اعلام آن می‌گذشت مایکروسافت اقدام به وصله این آسیب‌پذیری نکرده بود. این آسیب‌پذیری بالاخره در به‌روز‌رسانی سه‌شنبه گذشته وصله شد؛ اما وجود این آسیب‌پذیری به مدت طولانی موجب سوء استفاده‌های زیادی از آن شده است که در این گزارش مروری کوتاه بر این سوء استفاده‌ها از این آسیب‌پذیری داریم. 

همانطور که هفته گذشته اعلام شد، یک آسیب‌پذیری روی نرم‌افزار مایکروسافت ورد به هکر‌ها اجازه می‌داد فایل‌هایی را روی سیستم قربانی نصب کنند. این آسیب‌پذیری در همه نسخه‌های ویندوز وجود داشته و هکر‌ها با استفاده از این آسیب‌پذیری اقدام به نصب بدافزار‌ها و اجرای کدهای خرابکارانه روی سیستم‌های قربانی می‌کردند. بالاخره این آسیب در به‌روز‌رسانی سه‌شنبه گذشته ویندوز، این آسیب‌پذیری وصله شد. اما این آسیب‌پذیری به مدت زیادی بدون وصله وجود داشته و سوء استفاده‌های زیادی از آن شده است که در این گزارش به تعدادی از این سوء استفاده‌ها که کشف شده می‌پردازیم.

بدافزار Dridex یکی از خطرناک‌ترین و پیشرفته‌ترین تروجان‌های بانکی حال حاضر است. این بدافزار ترافیک کاربر به سمت سایت‌های بانک‌ها را رصد کرده و اطلاعات بانکی کاربر را سرقت می‌کند. این بدافزار معمولا با استفاده از اجرای کد‌های ماکرو در فایل‌‌های ورد آلوده در هرزنامه‌ها پخش می‌شود؛ این اولین بار است که کارشناسان متوجه شده‌اند که بدافزار Dridex با استفاده از آسیب‌پذیری وصله‌نشده مایکروسافت ورد انتشار می‌یابد.

یکی دیگر از بدافزار‌هایی که برای انتشار از این آسیب‌پذیری استفاده نموده است، بدافزار LatentBot است. این بدافزار معمولا با اهداف اقتصادی توسط هکر‌ها مورد استفاده قرار می‌گیرد. این بدافزار توانایی سرقت اعتبار نامه‌های قربانی، کنترل کامپیوتر از راه دور و از کار انداختن نرم‌افزار‌های امنیتی را در کامپیوتر هدف دارد. این بدافزار نیز با استفاده از هرز‌نامه‌هایی محتوی فایل ورد آلوده انتشار می‌یابد.

بررسی‌ها نشان داده که تنها هکر‌ها و مجرمان اینترنتی مستقل از این آسیب‌پذیری استفاده نکرده‌اند و هکر‌های مورد حمایت سرویس‌های اطلاعاتی کشور‌های مختلف نیز برای انتشار جاسوس‌افزار‌ها دست به استفاده از این آسیب‌پذیری خطرناک زده‌اند. شرکت FireEye اعلام کرده که جاسوس‌افزار FinSpy با استفاده از این آسیب‌پذیری لااقل از ۴ ماه پیش افرادی را در روسیه و اوکراین مورد هدف قرار داده است. ساخت این بدافزار را به یک گروه انگلیسی نسبت می‌دهند که کار آن ساخت جاسوس‌افزار برای سرویس‌های اطلاعاتی کشور‌های مختلف است.

استفاده چندین بدافزار از این آسیب‌پذیری برای انتشار قبل از اعلام عمومی آن، این گمان را تقویت می‌کند که فرد یا گروهی این آسیب‌پذیری را قبلا کشف نموده و آن را به گروه‌های دیگر فروخته است.

خوشبختانه بالاخره مایکروسافت این آسیب‌پذیری را وصله نموده است. به کاربران توصیه می‌شود سریعا این به‌روز‌رسانی را انجام دهند تا از حملاتی که از این آسیب‌پذیری استفاده می‌کنند در امان بمانند.