SandboxEscaper، هکری شهرت‌طلب یا نفوذگری با اختلالات روانی؟!

29 آذر ماه، هکری با شناسه SandboxEscaper نمونه بهره‌جویی (PoC) را منتشر کرد که از یک آسیب‌پذیری روز-صفر در تابع MsiAdvertiseProduct سیستم عامل Windows سوءاستفاده می‌کند.

به گزارش شرکت مهندسی شبکه گستر، مهاجم با بهره‌جویی از آسیب‌پذیری مذکور قادر به خواندن فایل‌های حفاظت‌شده توسط فهرست کنترل دسترسی (Access Control List) در سطح سیستم فایل خواهد بود.

MsiAdvertiseProduct تابعی در Windows است که به برنامه امکان اعمال تغییرات در محضرخانه (Registry) و انتشار محصول بر روی دستگاه را فراهم می‌کند. به گفته SandboxEscaper به دلیل عدم پالایش صحیح ورودی‌ها به این تابع، خواندن هر فایل سیستمی نیز از طریق آن ممکن شده است.

عملکرد نمونه بهره‌جو در اینجا نمایش داده شده است. کدهای نمونه بهره‌جو نیز اگر چه برای مدتی بر روی حساب SandboxEscaper در GitHub قابل دسترس بودند اما پس از مدتی دسترسی به حساب مذکور به‌طور کامل مسدود شد. SandboxEscaper مایکروسافت را عامل این مسدودسازی می‌داند.

با توجه به لزوم فراهم بودن دسترسی مهاجم به دستگاه قربانی و همچنین نظر به عدم تخصیص شناسه Common Vulnerabilities and Exposures – تا زمان انتشار این خبر – انتظار نمی‌رود که مایکروسافت تا قبل از 18 دی ماه (سه‌شنبه دوم ماه ژانویه) اقدام به عرضه اصلاحیه‌ای برای ترمیم آن کند.

این سومین بار است که SandboxEscaper وجود یک آسیب‌پذیری روز-صفر در Windows را به‌صورت عمومی افشا می‌کند.

این خانم نفوذگر، اولین بار در شهریور ماه SandboxEscaper جزییات ضعفی امنیتی از نوع “ترفیع امتیازی” (Privilege Escalation) را در قابلیت Task Scheduler سیستم عامل Windows منتشر کرد. ضعف مذکور که از مدیریت ناصحیح بخش Advanced Local Procedure Call ناشی می‌شود مهاجم را قادر به ترفیع سطح دسترسی خود بر روی دستگاه قربانی می‌کند. این آسیب‌پذیری با شناسه CVE-2018-8440 در مجموعه اصلاحیه‌های ماه سپتامبر توسط مایکروسافت پوشش داده شد.

در اوایل آبان ماه نیز SandboxEscaper با انتشار نمونه بهره‌جویی، چگونگی حذف فایل‌های حیاتی سیستمی در Windows را نشان داد. مایکروسافت آسیب‌پذیری مورد اشاره در این نمونه بهره‌جو با شناسه CVE-2018-8584 را توسط مجموعه اصلاحیه‌های ماه نوامبر خود ترمیم و اصلاح کرد.

لازم به ذکر است که سوءاستفاده از هر دو آسیب‌پذیری مذکور همانند ضعف امنیتی اخیر به‌صورت از راه دور فراهم نبوده و بنابراین درجه اهمیت هیچ یک از آنها “حیاتی” (Critical) نمی‌باشد.

بتازگی برخی منابع از تحت تعقیب بودن SandboxEscaper توسط پلیس فدرال آمریکا (FBI) خبر داده‌اند. نظریه‌های مختلفی برای علت این تحت تعقیب بودن مطرح شده است.

محتمل‌ترین این نظریه‌ها، افشای عمومی سه آسیب‌پذیری روز-صفر پیش از اطلاع‌رسانی به شرکت مایکروسافت می‌تواند باشد.

برخی این نظریه را نیز مطرح کرده‌اند که SandboxEscaper در فروش بهره‌جو به کشورهای دیگر نقش داشته و عملا قانون صادرات نرم‌افزار در آمریکا را نقض کرده است.

نظریه دیگر انتشار مطلبی است که در آن رییس جمهور فعلی آمریکا (دونالد ترامپ) به مرگ تهدید شده بود؛ اقدامی که منجر به تعطیلی حساب توییتر قبلی او شد.

اما جالب‌ترین نظریه نگرانی پلیس فدرال آمریکا از خودکشی SandboxEscaper است؛ به‌خصوص آن که این نفوذگر هر از گاهی مطالبی در مورد انجام خودکشی منتشر می‌کند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *