حمله به آسیب‌پذیری روز صفرم Word

مهاجمان کد سوء‌استفاده‌‌ای را توسعه‌ داده‌اند که می‌تواند آسیب‌پذیری روز صفرم در نرم‌افزار واژه‌پرداز مایکروسافت یا Microsoft Word را هدف قرار دهد. 

پایگاه اطلاع‌رسانی پلیس فتا: این کد سوء‌استفاده از مولفه‌های پیچیده‌ای از جمله مولفه‌ای که آدرس‌های تصادفی را دور می‌زند(ASLR bypass)، مولفه‌ی مبتنی بر روش‌های ROP و شل‌کدی که با لایه‌های مختلف طراحی شده و وظیفه دارد تحلیل این کد سوء‌استفاده را پیچیده‌تر کند. 
این آسیب‌پذیری که روز گذشته مایکروسافت در یک توصیه‌نامه‌ی امنیتی، آن را تایید کرد، نسخه‌های مختلف این نرم‌افزار را در سامانه‌عامل‌های ویندوز و OS X مورد هدف قرار داده و به علت مشکل مربوط به مدیریت پرونده‌های RTF توسط نرم‌افزار word می‌باشد، مایکروسافت هم‌چنین اعلام کرده است که یک روش به صورت تئوری وجود دارد که می‌توان از این آسیب‌پذیری در نرم‌افزار Outlook هم سوءاستفاده کرد و البته در این حالت نیازی به بازکردن پرونده‌‌ی آلوده نیست و فقط اگر این پرونده در Outlook وجود داشته باشد، رایانه، قربانی خواهد شد. 
مایکروسافت اعلام کرده است که سوء استفاده از این آسیب‌پذیری در تمام نسخه‌های Microsoft Word محتمل است، اما تاکنون در نسخه‌ی Word 2010 به صورت گسترده سوء‌استفاده آغاز شده و به نظر می‌رسد این کد قابل بهره‌برداری در Word 2013 نیست و علت آن این است که در نسخه‌ی Word 2013، سازوکار مقابله با ASLR تعبیه شده است، مایکروسافت هم‌چنین گزارش داده است که اگر ماشین آسیب‌پذیر باشد، کد سوء‌استفاده اجرا می‌شود و به خوبی کار خواهد کرد و در غیراین‌صورت، این کد منجر به از کار افتادن نرم‌افزار می‌شود و برای استفاده‌ی مجدد باید Word راه‌اندازی مجدد شود. 
مستندِ مخربی به منظور سوء استفاده از آسیب‌پذیری حافظه در کد اجرای s,، به کار می‌رود و مولفه‌ی دیگری توسط مهاجمین طراحی شده است که می‌توانید از ASLR سوء‌استفاده کند. 
هم‌چنین همان‌طور که بیان شد یک شل‌کد در این کد قرار داده شده‌است که می‌تواند تشخیص دهد این کد در محیطی اجرا می‌شود که تحلیل و بررسی شود و یا در محیط عادی رایانه‌ی قربانی است، البته این روش، از سال‌ها پیش توسط توسعه‌دهندگان بدافزار مورد استفاده قرار گرفته است. تشخیص این‌که کد در حال اجرا در یک سند‌باکس است نیز توسط همین شل‌کد صورت می‌گیرد. 
شِل‌کد مذکور از لایه‌های مختلف رمزنگاری نیز استفاده می‌کند و هم‌چنین بررسی می‌کند که آیا به‌روز‌رسانی جدید در رایانه‌ی قربانی نصب شده است یا خیر. 
این کد مخرب هم‌چنین دارای بخشی است که بررسی می‌کند آیا به‌روز‌رسانی‌های نصب‌شده بعد از تاریخ ۸ آوریل ۲۰۱۴ (روز پایان پشتیبانی از ویندوز اکس‌پی) می‌باشد، حتی اگر این کد سوء‌استفاده با موفقیت نیز اجرا شده باشد، در این مولفه تصمیم گیری می‌شود که آیا پس از این تاریخ با توجه به وضعیت رایانه، درپشتی جدیدی را مورد سوء‌استفاده قرار دهد یا خیر. 
این کد سوء‌استفاده، پس از این‌که موقعیت رایانه‌ی قربانی را بررسی می‌کند و آن را هدف مناسبی برای حمله می‌یابد، یک پوشه‌ موقتی با یک پرونده‌ درپشتی به نام «svchost.exe» در رایانه‌ قربانی بارگیری و سپس این پرونده اجرا را اجرا می‌کند. 
پرونده‌ی مذکور، با Visual Basic 6 توسعه پیدا کرده و مبتنی بر ارتباطات رمز‌شده‌ HTTPS است و هم‌چنین می‌تواند اسکریپت‌های ویندوزی مختلفی را با WScript.Shell اجرا کند و مولفه‌های دیگر MSI، را نصب و اجرا کند. 
مایکروسافت در توصیه‌نامه‌اش، این موارد را عنوان کرده و درهای پشتی مورد استفاده‌ این بدافزار را تشریح کرده است، یکی از این مولفه‌ها نیز به بدافزار امکان ارتباطات مبتنی بر SSL با کارگزار کنترل و فرمان‌دهی با استفاده از یک گواهی‌نامه‌ دارای امضای self-signed می‌دهد. 
 

منبع: 

وبگاه فن آوری اطلاعات