بی فايده بودن Patch مربوط به Sandworm

بر اساس آخرين اخبار دست کم دو گروه از مهاجمين در حال بهره برداری از آسيب پذيری Sandworm در سيستم عامل ويندوز با دور زدن وصله اصلاحی ارائه شده می باشند. اينگونه تصور می‌شد که تنها گروه Sandworm در حال بهره برداری از اين آسيب پذيری می‌باشد ولی شواهد حاکی از آنست که گروه ديگری از مهاجمين پيش از افشای شدن اين نقطه ضعف در 14 اکتبردر حال سوء استفاده از اين ايراد امنيتی بوده‌اند.

لازم به يادآوری می‌باشد که علی رغم ارائه وصله اصلاحی از سوی مايکروسافت برای نقطه ضعف با کد (CVE-2014-4114)، مهاجمين با دور زدن وصله فوق همچنان به بهره برداری سوء از آن مبادرت می‌ورزند.

با استفاده از ضعف امنيتی Sandworm، فايل‌های PowerPoint آلوده ضميمه شده به ايميل به عنوان وسيله‌ای برای نفوذ استفاده می‌شوند. اين ضمائم آلوده که توسط سيمانتک به عنوان Trojan.Mdropper شناسايی می‌شود 2 فايل به نام‌های Trojan.Taidoor و Backdoor.Darkmoon به سيستم قربانی ارسال می‌کند.گروهی که از تروجان Taidoor در حملات خود استفاده می‌کرده‌اند عامل بيشترين حملات انجام شده در مارس امسال با استفاده از ضعف امنيتی ناشناخته در برنامه Microsoft Word در آژانس‌های دولتی و موسسات آموزشی تايوان بوده‌اند. آنچه که بيش از همه موجب نگرانيست "Darkmoon" می‌باشد. شواهد حاکی از آن است که اين بدافزار آماده بهره برداری در ماه سپتامبر يعنی چند هفته قبل از افشای آسيب پذيری Sandworm (CVE-2014-4114) بوده است. زمان ارائه اين بدافزار حدود 10 سپتامبر تخمين زده می‌شود. در حاليکه آخرين زمان ارائه وصله اصلاحی فايل‌های PowerPoint در 12 سپتامبر بوده است و اولين فعاليت command-and-control مرتبط با آن در 24 سپتامبر شناسايی شده است. بايد توجه داشت که سيمانتک تاريخ ارسال فايل را در نظر نمی‌گيرد. بنابراين مهاجم می‌تواند از يک سيستم با تنظيمات زمان اشتباه استفاده کند و زمان اشتباه را بر روی فايل ايجاد نمايد. به هر حال با توجه به ارتباط بين سه زمان ثبت شده در فايل، احتمال اينکه مهاجمين پيش از 14 اکتبر به اين آسيب پذيری دسترسی يافته باشند، زياد می‌باشد. آسيب پذيری ناشی از ضعف امنيتی Sandworm به چگونگی مديريت فناوری OLE مربوط می‌شود. OLE فناوری ارائه شده توسط شرکت مايکروسافت می‌باشد که اجازه می‌دهد داده‌های ارزشمند از يک سند به سند ديگر يا از يک لينک به سند ديگری منتقل شود. OLE عموماً برای جايگزينی محتويات ذخيره شده به صورت محلی استفاده می‌شود. اما اين آسيب پذيری دانلود خودکار و اجرای فايل‌های خارجی را فعال کرده و به مهاجمان اجازه می‌دهد که فايل‌های OLE را از مکان‌های خارجی دريافت نمايند و موجب دانلود و راه اندازی بدافزار در سيستم قربانی گردد.

با توجه به اينکه آسيب پذيری اصلی با کد (CVE-2014-4114) سبب انتقال فايل‌های OLE در حال اتصال به فايل‌های خارجی می‌باشد، آسيب پذيری جديد با کد (CVE-2014-6352) باعث می‌شود فايل‌های OLE که فايل مخرب قابل اجرا بين آنها منتقل شده است، به فايل خارجی متصل شوند.

بر اساس اظهار نظر کارشناسان، آسيب پذيری جديد بر تمامی ويندوز های مايکروسافت به جز ويندوز 2003 تاثير گذار می‌باشد. مايکروسافت از اين آسيب پذيری آگاه بوده و توصيه‌های امنيتی برای آگاه سازی کاربران و ابزاری برای حل ضعف فوق منتشر نموده است. اين شرکت در صدد است که وصله اصلاحی برای آسيب پذيری اخير که با عنوان Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-6352) شناخته می‌شود را در بسته‌های به روز رسانی خود منتشر نمايد.

بنا به توصيه کاشناسان مايکروسافت، به کاربران ويندوز توصيه می‌شود قبل از مشاهده فايل‌های PowerPoint و ديگر فايل‌های دريافت شده از منابع ناشناس احتياط نمايند. همچنين از فعال بودن کنترل اکانت کاربر (UAC) اطمينان حاصل نماييد. در همين راستا مايکروسافت نيز مشاوره امنيتی برای متخصصين فناوری اطلاعات ارائه داده است. اين مشاوره امنيتی حاوی اطلاعات امنيتی مرتبط با اين موضوع می‌باشد که برای مطالعه بيشتر می‌توانيد به اين وب سايت مراجعه نمايند.

https://technet.microsoft.com/security/advisory/3010060


راهکار حفاظتی شرکت سيمانتک
مشتريان سيمانتک در برابر اين آسيب پذيری در صورت استفاده از محصولات زير محافظت می‌شوند:
۱- نرم افزار ضد ويروس Symantec Endpoint Protection:

در صورت استفاده از راهکار فوق، بدافزارهای مربوط با نامهای زير شناسايی می‌شوند.

• Trojan.Mdropper
• Trojan.Taidoor
• Backdoor.Darkmoon
• Bloodhound.Exploit.553

نام آسيب پذيری:
• Web Attack: Microsoft OLE RCE CVE-2014-6352

۲- نرم‌افزار امنيت سامانه پست الکترونيک Symantec Messaging Gateway

فناوری DISARM سيمانتک که در محصول Symantec Messaging Gateway 10.5 و نگارش‌های بالاتر آن موجود می‌باشد، آسيب پذيری‌های مبتنی بر ضعف Sandworm را متوقف می‌سازد. از آنجايي که DISARM از شناسه فايل‌ها استفاده نمی‌نمايد کاربرانی که از سيمانتک استفاده می‌کنند به راحتی در برابر آن محافظت می‌شوند. سيمانتک پيشنهاد می‌دهد که کاربران راه حل‌های امنيتی خود را به روز رسانی نموده و در هنگام باز نمودن ايميل‌های ناخواسته دقت نمايند. مشتريانی که از سرويس Symantec.Cloud استفاده می‌کنند در برابر هرزنامه‌های حامل بدافزار ياد شده، محافظت می‌شوند. همچنين مشتريان بايد مطمئن باشند که از آخرين فناوری‌های ارائه شده سيمانتک استفاده می‌کنند.

تاريخ ارسال به روز رسانی – 24 اکتبر 2014

منبع : www.symantec.com

تاريخ: سه‌شنبه 6 آبان 1393  ساعت: 17:50

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm