بر اساس آخرين اخبار دست کم دو گروه از مهاجمين در حال بهره برداري از آسيب پذيري Sandworm در سيستم عامل ويندوز با دور زدن وصله اصلاحي ارائه شده مي باشند. اينگونه تصور ميشد که تنها گروه Sandworm در حال بهره برداري از اين آسيب پذيري ميباشد ولي شواهد حاکي از آنست که گروه ديگري از مهاجمين پيش از افشاي شدن اين نقطه ضعف در 14 اکتبردر حال سوء استفاده از اين ايراد امنيتي بودهاند.
لازم به يادآوري ميباشد که علي رغم ارائه وصله اصلاحي از سوي مايکروسافت براي نقطه ضعف با کد (CVE-2014-4114)، مهاجمين با دور زدن وصله فوق همچنان به بهره برداري سوء از آن مبادرت ميورزند.
با استفاده از ضعف امنيتي Sandworm، فايلهاي PowerPoint آلوده ضميمه شده به ايميل به عنوان وسيلهاي براي نفوذ استفاده ميشوند. اين ضمائم آلوده که توسط سيمانتک به عنوان Trojan.Mdropper شناسايي ميشود 2 فايل به نامهاي Trojan.Taidoor و Backdoor.Darkmoon به سيستم قرباني ارسال ميکند.گروهي که از تروجان Taidoor در حملات خود استفاده ميکردهاند عامل بيشترين حملات انجام شده در مارس امسال با استفاده از ضعف امنيتي ناشناخته در برنامه Microsoft Word در آژانسهاي دولتي و موسسات آموزشي تايوان بودهاند. آنچه که بيش از همه موجب نگرانيست "Darkmoon" ميباشد. شواهد حاکي از آن است که اين بدافزار آماده بهره برداري در ماه سپتامبر يعني چند هفته قبل از افشاي آسيب پذيري Sandworm (CVE-2014-4114) بوده است. زمان ارائه اين بدافزار حدود 10 سپتامبر تخمين زده ميشود. در حاليکه آخرين زمان ارائه وصله اصلاحي فايلهاي PowerPoint در 12 سپتامبر بوده است و اولين فعاليت command-and-control مرتبط با آن در 24 سپتامبر شناسايي شده است. بايد توجه داشت که سيمانتک تاريخ ارسال فايل را در نظر نميگيرد. بنابراين مهاجم ميتواند از يک سيستم با تنظيمات زمان اشتباه استفاده کند و زمان اشتباه را بر روي فايل ايجاد نمايد. به هر حال با توجه به ارتباط بين سه زمان ثبت شده در فايل، احتمال اينکه مهاجمين پيش از 14 اکتبر به اين آسيب پذيري دسترسي يافته باشند، زياد ميباشد. آسيب پذيري ناشي از ضعف امنيتي Sandworm به چگونگي مديريت فناوري OLE مربوط ميشود. OLE فناوري ارائه شده توسط شرکت مايکروسافت ميباشد که اجازه ميدهد دادههاي ارزشمند از يک سند به سند ديگر يا از يک لينک به سند ديگري منتقل شود. OLE عموماً براي جايگزيني محتويات ذخيره شده به صورت محلي استفاده ميشود. اما اين آسيب پذيري دانلود خودکار و اجراي فايلهاي خارجي را فعال کرده و به مهاجمان اجازه ميدهد که فايلهاي OLE را از مکانهاي خارجي دريافت نمايند و موجب دانلود و راه اندازي بدافزار در سيستم قرباني گردد.
با توجه به اينکه آسيب پذيري اصلي با کد (CVE-2014-4114) سبب انتقال فايلهاي OLE در حال اتصال به فايلهاي خارجي ميباشد، آسيب پذيري جديد با کد (CVE-2014-6352) باعث ميشود فايلهاي OLE که فايل مخرب قابل اجرا بين آنها منتقل شده است، به فايل خارجي متصل شوند.
بر اساس اظهار نظر کارشناسان، آسيب پذيري جديد بر تمامي ويندوز هاي مايکروسافت به جز ويندوز 2003 تاثير گذار ميباشد. مايکروسافت از اين آسيب پذيري آگاه بوده و توصيههاي امنيتي براي آگاه سازي کاربران و ابزاري براي حل ضعف فوق منتشر نموده است. اين شرکت در صدد است که وصله اصلاحي براي آسيب پذيري اخير که با عنوان Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-6352) شناخته ميشود را در بستههاي به روز رساني خود منتشر نمايد.
بنا به توصيه کاشناسان مايکروسافت، به کاربران ويندوز توصيه ميشود قبل از مشاهده فايلهاي PowerPoint و ديگر فايلهاي دريافت شده از منابع ناشناس احتياط نمايند. همچنين از فعال بودن کنترل اکانت کاربر (UAC) اطمينان حاصل نماييد. در همين راستا مايکروسافت نيز مشاوره امنيتي براي متخصصين فناوري اطلاعات ارائه داده است. اين مشاوره امنيتي حاوي اطلاعات امنيتي مرتبط با اين موضوع ميباشد که براي مطالعه بيشتر ميتوانيد به اين وب سايت مراجعه نمايند.
https://technet.microsoft.com/security/advisory/3010060
راهکار حفاظتي شرکت سيمانتک
مشتريان سيمانتک در برابر اين آسيب پذيري در صورت استفاده از محصولات زير محافظت ميشوند:
?- نرم افزار ضد ويروس Symantec Endpoint Protection:
در صورت استفاده از راهکار فوق، بدافزارهاي مربوط با نامهاي زير شناسايي ميشوند.
• Trojan.Mdropper
• Trojan.Taidoor
• Backdoor.Darkmoon
• Bloodhound.Exploit.553
نام آسيب پذيري:
• Web Attack: Microsoft OLE RCE CVE-2014-6352
?- نرمافزار امنيت سامانه پست الکترونيک Symantec Messaging Gateway
فناوري DISARM سيمانتک که در محصول Symantec Messaging Gateway 10.5 و نگارشهاي بالاتر آن موجود ميباشد، آسيب پذيريهاي مبتني بر ضعف Sandworm را متوقف ميسازد. از آنجايي که DISARM از شناسه فايلها استفاده نمينمايد کاربراني که از سيمانتک استفاده ميکنند به راحتي در برابر آن محافظت ميشوند. سيمانتک پيشنهاد ميدهد که کاربران راه حلهاي امنيتي خود را به روز رساني نموده و در هنگام باز نمودن ايميلهاي ناخواسته دقت نمايند. مشترياني که از سرويس Symantec.Cloud استفاده ميکنند در برابر هرزنامههاي حامل بدافزار ياد شده، محافظت ميشوند. همچنين مشتريان بايد مطمئن باشند که از آخرين فناوريهاي ارائه شده سيمانتک استفاده ميکنند.
تاريخ ارسال به روز رساني – 24 اکتبر 2014
منبع : www.symantec.com
