۱۰ تیر ۱۳۹۷

آسیب ‏پذیری اجرای کد از راه دور در IE

/
نظرات0
/
برچسب ها,

امروزه کامپیوتر به جزئی لاینفک از زندگی بشر تبدیل شده و امکانات زیادی را به‏ همراه داشته است.

 

به‏ نحوی که زندگی روزمره بدون آن دشوار خواهد شد. بسیاری از فعالیت‏ ها مهم در این بستر انجام می‏ پذیرند. همین امر این فضا را تبدیل به یک محیط مناسب برای استفاده سوء توسط مجرمان و کلاه‏برداران اینترنتی نموده است. در نتیجه امنیت در این فضای نوین اهمیت حیاتی دارد.

مجرمان فضای مجازی با استفاده از نقایص موجود در سیستم سعی در نقض امنیت آن دارند. به ‏طور کلی این نقایص دارای انواع متنوعی هستند. یکی از این انواع، آسیب‏ پذیری اجرای کد از راه دور  است. این آسیب‏ پذیری به این مجرمان اجازه دسترسی به کامپیوتر شخص دیگر (بدون توجه به فاصله جغرافیایی) و اجرای تغییرات از طریق اجرای دستوراتی را، می ‏دهد. این آسیب‏ پذیری به نفوذگر اجازه اجرای کد مخرب و دریافت دسترسی به سیستم قربانی را می‏ دهد.

اخیراً یکی از محققین امنیتی شرکت “Telscope Systems” با نام دیمیتری کاسلوف یک آسیب‏ پذیری روی سیستم ‏عامل ویندوز کشف کرده است. این آسیب‏ پذیری اجازه اجرای کد در محیط جعبه شنی را به نفوذگر می ‏دهد. این آسیب‏ پذیری به تنها خطر قابل توجهی ندارد اما در کنار یک روش برای دور زدن جعبه شنی می‏تواند بسیار خطرناک باشد. در واقع این آسیب‏ پذیری می‏تواند به‏ عنوان یک تکه کلیدی از یک اکسپلویت خطرناک استفاده شود. هرچند هنوز اکسپلویتی برای آن ارائه نشده است.

این آسیب‏ پذیری روی برنامه‏ های JScript وجود دارد. JScript نسخه‏ ای از زبان استاندارد جاوا اسکریپت است که توسط مایکروسافت جهت استفاده در مرورگر IE ارائه شده و مورد استفاده قرار گرفته است.این زبان دارای قابلیت به‏ کار رفتن در کنار زبان‏ هایی مانند VBSCRIPT و PerlScript برای تولید یک برنامه را دارد.

در این آسیب ‏پذیری، مهاجم ابتدا با استفاده از تکنیک‏ های مهندسی اجتماعی کاربر را متقاعد می‏کند تا از یک صفحه آلوده بازدید کند یا یک فایل آلوده JScript را دریافت و باز نماید. سپس با توجه به ایراد مدیریت خطای موجود در JScript، مهاجم می‏ تواند، از اشاره‏ گرها حتی پس از آزادسازی استفاده کند. در نهایت مهاجم با استفاده از این تکنیک می‏تواند کد دلخواه خود را تحت محیط برنامه جاری اجرا نماید.

این آسیب‏ پذیری در نسخه‏ های ۹ تا ۱۱ مرورگر IE وجود دارد و توجه بسیاری از سایت ‏ها را به خود جلب نموده و جزء آسیب‏ پذیری‏های بحرانی به حساب می‏ آید.

در ماه ژوئن مایکروسافت اقدام به ارائه به‏ روزرسانی امنیتی برای ۵۰ آسیب‏ پذیری‏ موجود در محصولات مایکروسافت (مرورگرهای IE و edge، Hyper-v و مجموعه آفیس) نموده است. در شکل۱ لیست آسیب‏ پذیری‏های بحرانی وصله شده در این به ‏روزرسانی قابل مشاهده است. آسیب‏ پذیری مذکور در ردیف اول قابل مشاهده است. نکته قابل توجه درباره تمامی این آسیب ‏پذیری‏ ها یکسان بودن نوع آن‏ها (اجرای کد از راه دور) است.

در حال حاضر به‏ جز استفاده از به ‏روزرسانی امنیتی ارائه شده توسط مایکروسافت، راهکار دیگر برای محافظت از این آسیب‏ پذیری وجود ندارد. البته آموزش در حوزه مهندسی اجتماعی و مقابله با آن می‏تواند سهم به‏ سزایی در مقابله با بدافزارها و صفحات مخربی که از این آسیب‏ پذیری استفاده می‏ کنند، داشته باشد.عدم مراجعه به صفحات مشکوک و عدم دریافت و باز نکردن فایل‏های مشکوک با فرمت JS می‏تواند یک پیشگیری مقطعی قبل از انجام به‏ روزرسانی امنیتی فراهم آورد.

لیست آسیب‏ پذیری ‏های بحرانی وصله ‏شده در به‏ روزرسانی ماه ژوئن

 

مراجع

[۱] “RESEARCHERS WARN OF MICROSOFT ZERO-DAY RCE BUG”, https://threatpost.com/researchers-warn-of-microsoft-zero-day-rce-bug/132473/, June 2018.
[۲] “Patch Tuesday: Microsoft mends RCE bug reportedly exploited by cyber espionage group”, https://www.scmagazine.com/patch-tuesday-microsoft-mends-rce-bug-reportedly-exploited-by-cyber-espionage-group/article/764501/, May 2018.
[۳] “Remote Code Execution Vulnerability Disclosed in Windows JScript Component” , https://www.bleepingcomputer.com/news/security/remote-code-execution-vulnerability-disclosed-in-windows-jscript-component/, May 2018.
[۴] “CVE-2018-8267 | Scripting Engine Memory Corruption Vulnerability” , https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8267/, June 2018.