کمیته رکن چهارم – FireEye اخیرا حمله ای را کشف کرده است که توسط کمپین جاسوسی سایبری روسی راه اندازی شده واز یک رخنه جدید در مایکروسافت و آسیب پذیر های zero-day فلش سوء استفاده می کنند.
به گزارش کمیته رکن چهارم،آسیب پذیری فلش CVE-2015-3043 می باشد که زمانی می توان آن سوء استفاده کرد که قربانی بر روی لینکی از یک وب سایت مخرب که تحت کنترل هکرها است کلیک نماید. حامل HTML/JS حاوی کد سوء استفاده است و زمانی که کد shell اجرا شد و یک فایل اجرایی را بر روی سیستم ویندوز راه اندازی کرد، بنا به نوع سیستم مبنی بر ۳۲ یا ۶۴ بیتی بودن، کد سوء استفاده مورد نظر را ارسال می کند. سپس برای سرقت توکن های سیستم از یک رخنه در ویندوز با شناسه CVE-2015-1701 سوء استفاده می کند.
رخنه CVE-2015-1701، یک آسیب پذیری افزایش سطح دسترسی می باشد. کد سوء استفاده مربوط به آن ابتدا با استفاده از این آسیب پذیری داده ها را قبل از اجرای کد ازSystem استخراج کرده و با اجرای کد kernel، مهاجم قادر خواهد بود تا توکن های سیستم را به سرقت ببرد و دسترسی معادل دسترسیSystem داشته باشد. در این حمله بدافزاری از خانواده بدافزارهای CHOPSTICK و CORESHELL مورد استفاده قرار می گیرد.
FireEye اعلام کرد که با توجه به فناوری به کار رفته در این حمله و زیرساخت سرور کنترل و فرمان، به احتمال زیاد APT28 مسئول این حمله می باشد.
در حال حاضر اصلاحیه ای برای آسیب پذیری کشف شده در ویندوز وجود ندارد اما مایکروسافت در حال کار بر روی انتشار یک اصلاحیه برای این آسیب پذیری می باشد. این مشکل ویندوز ۸ و نسخه های بالاتر از آن را تحت تاثیر قرار نمی دهد. هم چنین توصیه می شود تا آخرین نسخه از نرم افزار ادوب فلش نصب شود.
منبع :مرکز ماهر
