مهاجمان کد سوءاستفادهای را توسعه دادهاند که
میتواند آسیبپذیری روز صفرم در نرمافزار واژهپرداز مایکروسافت یا
Microsoft Word را هدف قرار دهد.
پایگاه اطلاعرسانی پلیس فتا: این کد سوءاستفاده از مولفههای پیچیدهای
از جمله مولفهای که آدرسهای تصادفی را دور میزند(ASLR bypass)، مولفهی
مبتنی بر روشهای ROP و شلکدی که با لایههای مختلف طراحی شده و وظیفه
دارد تحلیل این کد سوءاستفاده را پیچیدهتر کند.
این آسیبپذیری که روز گذشته مایکروسافت در یک توصیهنامهی امنیتی، آن را
تایید کرد، نسخههای مختلف این نرمافزار را در سامانهعاملهای ویندوز و
OS X مورد هدف قرار داده و به علت مشکل مربوط به مدیریت پروندههای RTF
توسط نرمافزار word میباشد، مایکروسافت همچنین اعلام کرده است که یک روش
به صورت تئوری وجود دارد که میتوان از این آسیبپذیری در نرمافزار
Outlook هم سوءاستفاده کرد و البته در این حالت نیازی به بازکردن پروندهی
آلوده نیست و فقط اگر این پرونده در Outlook وجود داشته باشد، رایانه،
قربانی خواهد شد.
مایکروسافت اعلام کرده است که سوء استفاده از این آسیبپذیری در تمام
نسخههای Microsoft Word محتمل است، اما تاکنون در نسخهی Word 2010 به
صورت گسترده سوءاستفاده آغاز شده و به نظر میرسد این کد قابل بهرهبرداری
در Word 2013 نیست و علت آن این است که در نسخهی Word 2013، سازوکار
مقابله با ASLR تعبیه شده است، مایکروسافت همچنین گزارش داده است که اگر
ماشین آسیبپذیر باشد، کد سوءاستفاده اجرا میشود و به خوبی کار خواهد کرد
و در غیراینصورت، این کد منجر به از کار افتادن نرمافزار میشود و برای
استفادهی مجدد باید Word راهاندازی مجدد شود.
مستندِ مخربی به منظور سوء استفاده از آسیبپذیری حافظه در کد اجرای s,، به
کار میرود و مولفهی دیگری توسط مهاجمین طراحی شده است که میتوانید از
ASLR سوءاستفاده کند.
همچنین همانطور که بیان شد یک شلکد در این کد قرار داده شدهاست که
میتواند تشخیص دهد این کد در محیطی اجرا میشود که تحلیل و بررسی شود و یا
در محیط عادی رایانهی قربانی است، البته این روش، از سالها پیش توسط
توسعهدهندگان بدافزار مورد استفاده قرار گرفته است. تشخیص اینکه کد در
حال اجرا در یک سندباکس است نیز توسط همین شلکد صورت میگیرد.
شِلکد مذکور از لایههای مختلف رمزنگاری نیز استفاده میکند و همچنین
بررسی میکند که آیا بهروزرسانی جدید در رایانهی قربانی نصب شده است یا
خیر.
این کد مخرب همچنین دارای بخشی است که بررسی میکند آیا بهروزرسانیهای
نصبشده بعد از تاریخ ۸ آوریل ۲۰۱۴ (روز پایان پشتیبانی از ویندوز اکسپی)
میباشد، حتی اگر این کد سوءاستفاده با موفقیت نیز اجرا شده باشد، در این
مولفه تصمیم گیری میشود که آیا پس از این تاریخ با توجه به وضعیت رایانه،
درپشتی جدیدی را مورد سوءاستفاده قرار دهد یا خیر.
این کد سوءاستفاده، پس از اینکه موقعیت رایانهی قربانی را بررسی میکند و
آن را هدف مناسبی برای حمله مییابد، یک پوشه موقتی با یک پرونده درپشتی
به نام «svchost.exe» در رایانه قربانی بارگیری و سپس این پرونده اجرا را
اجرا میکند.
پروندهی مذکور، با Visual Basic 6 توسعه پیدا کرده و مبتنی بر ارتباطات
رمزشده HTTPS است و همچنین میتواند اسکریپتهای ویندوزی مختلفی را با
WScript.Shell اجرا کند و مولفههای دیگر MSI، را نصب و اجرا کند.
مایکروسافت در توصیهنامهاش، این موارد را عنوان کرده و درهای پشتی مورد
استفاده این بدافزار را تشریح کرده است، یکی از این مولفهها نیز به
بدافزار امکان ارتباطات مبتنی بر SSL با کارگزار کنترل و فرماندهی با
استفاده از یک گواهینامه دارای امضای self-signed میدهد.