29 آذر ماه، هکری با شناسه SandboxEscaper نمونه بهرهجویی (PoC) را منتشر کرد که از یک آسیبپذیری روز-صفر در تابع MsiAdvertiseProduct سیستم عامل Windows سوءاستفاده میکند.
به گزارش شرکت مهندسی شبکه گستر، مهاجم با بهرهجویی از آسیبپذیری مذکور قادر به خواندن فایلهای حفاظتشده توسط فهرست کنترل دسترسی (Access Control List) در سطح سیستم فایل خواهد بود.
MsiAdvertiseProduct تابعی در Windows است که به برنامه امکان اعمال تغییرات در محضرخانه (Registry) و انتشار محصول بر روی دستگاه را فراهم میکند. به گفته SandboxEscaper به دلیل عدم پالایش صحیح ورودیها به این تابع، خواندن هر فایل سیستمی نیز از طریق آن ممکن شده است.
عملکرد نمونه بهرهجو در اینجا نمایش داده شده است. کدهای نمونه بهرهجو نیز اگر چه برای مدتی بر روی حساب SandboxEscaper در GitHub قابل دسترس بودند اما پس از مدتی دسترسی به حساب مذکور بهطور کامل مسدود شد. SandboxEscaper مایکروسافت را عامل این مسدودسازی میداند.
با توجه به لزوم فراهم بودن دسترسی مهاجم به دستگاه قربانی و همچنین نظر به عدم تخصیص شناسه Common Vulnerabilities and Exposures – تا زمان انتشار این خبر – انتظار نمیرود که مایکروسافت تا قبل از 18 دی ماه (سهشنبه دوم ماه ژانویه) اقدام به عرضه اصلاحیهای برای ترمیم آن کند.
این سومین بار است که SandboxEscaper وجود یک آسیبپذیری روز-صفر در Windows را بهصورت عمومی افشا میکند.
این خانم نفوذگر، اولین بار در شهریور ماه SandboxEscaper جزییات ضعفی امنیتی از نوع “ترفیع امتیازی” (Privilege Escalation) را در قابلیت Task Scheduler سیستم عامل Windows منتشر کرد. ضعف مذکور که از مدیریت ناصحیح بخش Advanced Local Procedure Call ناشی میشود مهاجم را قادر به ترفیع سطح دسترسی خود بر روی دستگاه قربانی میکند. این آسیبپذیری با شناسه CVE-2018-8440 در مجموعه اصلاحیههای ماه سپتامبر توسط مایکروسافت پوشش داده شد.
در اوایل آبان ماه نیز SandboxEscaper با انتشار نمونه بهرهجویی، چگونگی حذف فایلهای حیاتی سیستمی در Windows را نشان داد. مایکروسافت آسیبپذیری مورد اشاره در این نمونه بهرهجو با شناسه CVE-2018-8584 را توسط مجموعه اصلاحیههای ماه نوامبر خود ترمیم و اصلاح کرد.
لازم به ذکر است که سوءاستفاده از هر دو آسیبپذیری مذکور همانند ضعف امنیتی اخیر بهصورت از راه دور فراهم نبوده و بنابراین درجه اهمیت هیچ یک از آنها “حیاتی” (Critical) نمیباشد.
بتازگی برخی منابع از تحت تعقیب بودن SandboxEscaper توسط پلیس فدرال آمریکا (FBI) خبر دادهاند. نظریههای مختلفی برای علت این تحت تعقیب بودن مطرح شده است.
محتملترین این نظریهها، افشای عمومی سه آسیبپذیری روز-صفر پیش از اطلاعرسانی به شرکت مایکروسافت میتواند باشد.
برخی این نظریه را نیز مطرح کردهاند که SandboxEscaper در فروش بهرهجو به کشورهای دیگر نقش داشته و عملا قانون صادرات نرمافزار در آمریکا را نقض کرده است.
نظریه دیگر انتشار مطلبی است که در آن رییس جمهور فعلی آمریکا (دونالد ترامپ) به مرگ تهدید شده بود؛ اقدامی که منجر به تعطیلی حساب توییتر قبلی او شد.
اما جالبترین نظریه نگرانی پلیس فدرال آمریکا از خودکشی SandboxEscaper است؛ بهخصوص آن که این نفوذگر هر از گاهی مطالبی در مورد انجام خودکشی منتشر میکند.