کمیته رکن چهارم – یکی از وصلههایی که مایکروسافت به عنوان بخشی از بهروزرسانیهای امنیتی در ماه ژوئن سال ۲۰۱۷ منتشر کرد، نشاندهندهی سومین تلاش این شرکت برای برطرف کردن یک آسیبپذیری قدیمی است که توسط بدافزار استاکسنت درسال ۲۰۱۰ میلادی مورد بهرهبرداری قرار گرفته است. آسیبپذیری اولیه که با شناسهی CVE-۲۰۱۰-۲۵۶۸ ردیابی میشود، به یک مهاجم اجازه میدهد تا از راه دور یک کد دلخواه در یک سامانه با استفاده از پروندههای میانبر خاص به کار رفته با پسوند LNK یا PlF را اجرا کند.
آسیبپذیری CVE-۲۰۱۰-۲۵۶۸ یکی از چهار آسیبپذیری صفر-روزم است که در حملات استاکسنت ۲۰۱۰ به برنامهی هستهای ایران مورد بهرهبرداری قرار گرفته است. با وجود اینکه مایکروسافت در آگوست ۲۰۱۰ آن را وصله کرد، یکی از آسیبپذیرترین مواردی است که همچنان توسط مهاجمان سایبری مورد بهرهبرداری و سوءاستفاده قرار میگیرد. در سال ۲۰۱۵ میلادی محققان دریافتند که وصلهی اولیهی مایکروسافت را میتوان دور زد و غول تکنولوژی یک وصلهی دیگر را منتشر کرد. این نقص که با شناسهی CVE-۲۰۱۵-۰۰۹۶ ردیابی شده، برای مایکروسافت به صورت یک مسالهی کاملاً جدید مورد توجه قرار گرفته است.
بر اساس یک مشاورهنامه که در روز پنجشنبه توسط مرکز هماهنگی CERT در دانشگاه کارنگیملون منتشر شد، فرد دیگری روش جدیدی برای دور زدن وصلههای مایکروسافت برای این آسیبپذیری کشف کرده است. هیچ اطلاعاتی از کسانی که روش جدید را کشف کردهاند، ارائه نشده است. محققان در مشاورهنامهی خود گفتند: «وصلهی اولیه برای CVE-۲۰۱۰-۲۵۶۸ و وصلهی بعدی آن برای CVE-۲۰۱۵-۰۰۹۶ هر دو ناکافی هستند زیرا آنها پروندههای LNK را در نظر نمیگیرند که از ویژگیهای SpecialFolderDataBloc یا KnownFolderDataBlock برای مشخص کردن مکان یک پوشه استفاده میکنند. چنین پروندههایی قادر به دور زدن فهرست سفید هستند که در وصله برای آسیبپذیری CVE-۲۰۱۰-۲۵۶۸ اجرا شده است.»
در مشاورهنامه همچنین توضیح داده شده است: «با متقاعد کردن کاربر برای نمایش یک پروندهی میانبر خاص، مهاجم ممکن است بتواند کد دلخواه را با امتیازات کاربر اجرا کند. بسته به سامانه عامل و پیکربندی AutoRun/AutoPlay، میتواند به طور خودکار با اتصال یک دستگاه یواسبی بهرهبرداری اتفاق بیفتد.» محققان اشاره کردند که مایکرسافت با بهروزرسانی امنیتی خود در ماه ژوئن، یک آسیبپذیری جدید که با شناسهی CVE-۲۰۱۷-۸۴۶۴ ردیابی شده را برطرف کرده است. بهرهبرداری از این حفرهی امنیتی از جمله یک ماژول متااسپلویت در حال حاضر بهطور عمومی در دسترس است.
این سازمان هم چنین اشاره کرد که علاوه بر استفاده از وصلههای مایکروسافت، کاربران میتوانند با مسدود کردن اتصالات خروجی بر روی درگاههای TCP و UDP با شمارههای ۱۳۹ و ۴۴۵، از حملات احتمالی جلوگیری کنند. این امر مانع دسترسی دستگاه به کارگزار SMB از راه دور میشود که معمولاً برای به کار بردن آسیبپذیری مورد نیاز است.
منبع : asis
