شرکت سوفوس بهتازگی جزئیات یک سوءاستفاده جدید را منتشر کرده که در آن مهاجمان قصد بیاثر کردن وصله آسیبپذیری به شناسه CVE-۲۰۲۱-۴۰۴۴۴ از طریق فایلهای Microsoft Office را دارند.
شرکت سوفوس بهتازگی جزئیات یک سوءاستفاده جدید را منتشر کرده که در آن مهاجمان قصد بیاثر کردن وصله آسیبپذیری به شناسه CVE-۲۰۲۱-۴۰۴۴۴ از طریق فایلهای Microsoft Office را دارند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیبپذیری موجود در MSHTML به شناسه CVE-۲۰۲۱-۴۰۴۴۴، برای "اجرای کد از راه دور" (Remote Code Execution – بهاختصار RCE) در نسخههای مختلف سیستمعامل Windows میتواند توسط مهاجمان مورد بهرهجویی قرار گیرد. آنها از این ضعف این امنیتی برای اجرای کد یا فرامین بر روی ماشین هدف بدون دخالت کاربر سوءاستفاده میکنند. مهاجمان در این روش معمولاً یک سند Office را برای کاربر ارسال کرده و کاربر را متقاعد میکنند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیبپذیری موجود در MSHTML سوءاستفاده میکنند. البته مایکروسافت (Microsoft Corp.) این آسیبپذیری را در اصلاحیههای امنیتی ماه سپتامبر ۲۰۲۱ برطرف کرده است. نتایج یافتههای محققان سوفوس حاکی از آن است که بلافاصله پس از انتشار وصلههای مایکروسافت برای ترمیم این ضعف امنیتی، مهاجمان در تلاش برای دورزدن آنها هستند.
در تاریخهای ۲ و ۳ آبان ۱۴۰۰، محققان سوفوس چندین نمونه ایمیل هرزنامه حاوی فایلهای پیوست را دریافت کردند. بررسی فایلهای پیوست حاکی از سوءاستفاده مهاجمان از باگ CVE-۲۰۲۱-۴۰۴۴۴ است؛ این امر نشان میدهد که حتی وصله کردن یک ضعف امنیتی نمیتواند مانع از اقدامات مخرب یک مهاجم ماهر شود.
در حملاتی که پیش از عرضه اصلاحیه سپتامبر ۲۰۲۱ مایکروسافت صورتگرفته بود، برای بهرهجویی از ضعف امنیتی CVE-۲۰۲۱-۴۰۴۴۴، کد بدافزاری در یک فایل Microsoft Cabinet (.CAB) در داخل یک سند مخرب Office بستهبندیشده بود. پس از ترمیم این آسیبپذیری و ارائه وصله آن در ماه سپتامبر توسط مایکروسافت، مهاجمان با بررسی یک نمونه اثباتگر (Proof-of-Concept – بهاختصار PoC) مربوط به این ضعف امنیتی، متوجه شدند که میتوانند با قرار دادن کد بدافزاری در یک فایل فشرده RAR دستکاری شده، از زنجیره حمله بهصورت متفاوتی استفاده کرده و مجدد این ضعف امنیتی را به گونه دیگری مورد سوءاستفاده قرار دهند.
از فایل فشرده RAR قبلاً نیز برای توزیع کدهای مخرب استفاده میشده، اما بنا بر اظهارات محققان سوفوس، فرایند مورداستفاده در اینجا بهطور غیرعادی پیچیده بود.
بهاحتمالزیاد تنها دلیل موفق شدن مهاجمان در حمله اخیر این بوده که عملکرد و محدوده وصله این ضعف امنیتی بسیار محدود بوده است. از طرفی برنامه WinRAR که کاربران برای باز کردن فایلهای فشرده از آن استفاده میکنند، در برابر خطا بسیار انعطافپذیر است و چون فایل RAR بکار گرفتهشده توسط مهاجمان دستکاری شده، برای نرمافزار WinRAR باگ به نظر نرسیده است.
در واقع ازآنجاییکه مهاجمان از روش حمله قبلی که در آن فایل مخرب، از طریق Microsoft Cabinet (.CAB) بستهبندی میشد، استفاده نمیکنند و وصله ارائهشده را بیاثر میکنند، محققان سوفوس روش این حمله اخیر را CAB-less ۴۰۴۴۴ نامگذاری کردهاند. شواهد حاکی از آن است که اخیراً مهاجمان از یک نمونه اثباتگر مربوط به این ضعف امنیتی که بهصورت عمومی منتشر شده بود، برای انتقال بدافزار Formbook در اسناد Office سوءاستفاده کردهاند.
همانطور که در تصویر زیر نمایشدادهشده است، قربانیان در این حملات، ایمیلی با پیوست Profile.rar دریافت میکنند.
این فایل فشرده RAR حاوی یک سند Word است. این فایل RAR دستکاری شده و یک اسکریپت PowerShell نیز در ابتدای آن قرار داده شده است. مهاجمان، گیرندگان ایمیل را متقاعد کردند تا فایل RAR را از حالت فشرده خارج کرده و به سند Word دسترسی پیدا کنند. بهمحض بازشدن فایل Word در Office، یک صفحه وب که حاوی یک JavaScript مخرب است، فراخوانی میشود.
این JavaScript ، سند Word را مجبور به راهاندازی کد اسکریپت مخرب جاسازیشده در فایل فشرده Profile.rar میکند. سپس اسکریپت تعبیهشده در این فایل فشرده، PowerShell را فراخوانی و کد مخرب قابلاجرا را فعال کرده و در نهایت دستگاه قربانی به بدافزار Formbook آلودهشده است. مهاجمان ایمیلهای هرزنامه (Spam email) را به مدت تقریباً ۳۶ ساعت توزیع کرده و سپس فعالیت خود را متوقف کردند.
به نقل از محققان سوفوس، طول عمر محدود این حمله جدید میتواند به این معنی باشد که این تنها آزمایشی از سوی مهاجمان است و احتمالاً در حملات بعدی این روش جدید سوءاستفاده به طور گسترده مورداستفاده قرار خواهد گرفت.
محققان سوفوس اعلام کردند که این تحقیق یادآوری میکند که اعمال وصلهها بهتنهایی نمیتواند در همه موارد در برابر تمامی آسیبپذیریها و حملات محافظت ایجاد کند. بلکه تنظیم محدودیتهایی جهت جلوگیری از راهاندازی تصادفی یک سند مخرب توسط کاربر، میتواند به محافظت در برابر چنین سوءاستفادههایی کمک کند، اما همچنان کاربران ممکن است فریبخورده و سیستمهای آنها با کلیک روی دکمه Enable Content آلوده شوند؛ بنابراین آموزش کارمندان و تأکید بر عدم دانلود اسناد مشکوک ضمیمهشده در ایمیل بسیار ضروری است، بهخصوص زمانی که ایمیلی حاوی پیوستهایی با فرمتهای فشرده غیرمعمول یا ناآشنا از افراد یا سازمانهای ناشناس دریافت میشود. در چنین زمانی توصیه میشود که کاربران همیشه با فرستنده یا شخصی که بهظاهر ایمیل از طرف او ارسالشده تماس گرفته یا از طریق مشورت با راهبر امنیتی سازمان خود صحت ایمیل ارسالی را بررسی کنند.
مشروح گزارش سوفوس در خصوص جزئیات سوءاستفاده اخیر از MSHTML در نشانی زیر قابل دریافت و مطالعه است: https://news.sophos.com/en-us/۲۰۲۱/۱۲/۲۱/attackers-test-cab-less-۴۰۴۴۴-exploit-in-a-dry-run