نماد سایت اتاق خبر شبکه گستر

CAB-less 40444؛ تکنیک جدید مهاجمان برای دور زدن وصله CVE-2021-40444

روابط عمومی

شرکت سوفوس (.Sophos, Ltd)، به تازگی جزئیات یک سوء‌استفاده جدید را منتشر کرده که در آن مهاجمان سعی در بی‌اثر نمودن وصله آسیب‌پذیری به شناسه CVE-2021-40444 از طریق فایل‌های Microsoft Office را دارند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده جزییات سوءاستفاده از ضعف‌امنیتی مذکور مورد بررسی قرار گرفته است.

آسیب‌پذیری موجود در MSHTML به شناسه CVE-2021-40444، برای “اجرای کد به صورت از راه دور” (Remote Code Execution – به اختصار RCE) در نسخه‌های مختلف سیستم‌عامل Windows می‌تواند توسط مهاجمان مورد بهره‌جویی قرار ‌گیرد. آن‌ها از ضعف‌امنیتی مذکور برای اجرای کد یا فرامین بر روی ماشین هدف بدون دخالت کاربر سوءاستفاده می‌کنند. مهاجمان در این روش معمولاً یک سند Office را برای کاربر ارسال نموده و کاربر را متقاعد می‌کنند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML سوءاستفاده می‌کنند. البته مایکروسافت (.Microsoft Corp) این آسیب‌پذیری را در اصلاحیه‌های امنیتی ماه سپتامبر 2021 برطرف نموده است.

نتایج یافته‌های محققان سوفوس حاکی از آن است که بلافاصله پس از انتشار وصله‌های مایکروسافت جهت ترمیم ضعف امنیتی مذکور، مهاجمان در تلاش برای دور زدن آن‌ها می‌باشند.

در تاریخ‌های 2 و 3 آبان 1400، محققان سوفوس چندین نمونه ‌ایمیل هرزنامه حاوی فایل‌های پیوست را دریافت کردند. بررسی فایل‌های پیوست حاکی از سوءاستفاده مهاجمان از باگ CVE-2021-40444 می‌باشد؛ این امر نشان می‌دهد که حتی وصله نمودن یک ضعف امنیتی نمی‌تواند مانع از اقدامات مخرب یک مهاجم ماهر شود.

در حملاتی که پیش از عرضه اصلاحیه سپتامبر 2021 مایکروسافت صورت گرفته بود، جهت بهره‌جویی از ضعف امنیتی CVE-2021-40444، کد بدافزاری در یک فایل Microsoft Cabinetو(CAB.) در داخل یک سند مخرب Office بسته‌بندی شده بود. پس از ترمیم آسیب‌پذیری مذکور و ارائه وصله آن در ماه سپتامبر توسط مایکروسافت، مهاجمان با بررسی یک نمونه اثبات‌گر (Proof-of-Concept – به اختصار PoC) مربوط به ضعف‌امنیتی مذکور، متوجه شدند که می‌توانند با قرار دادن کد بدافزاری در یک فایل فشرده RAR دستکاری شده، از زنجیره حمله به صورت متفاوتی استفاده کرده و مجدد ضعف امنیتی مذکور را به گونه دیگری مورد سوءاستفاده قرار دهند.

 

 

 

از فایل فشرده RAR قبلاً نیز برای توزیع کدهای مخرب استفاده می‌شده، اما بنا بر اظهارات محققان سوفوس، فرایند مورد استفاده در اینجا به‌طور غیرعادی پیچیده بود.

به احتمال زیاد تنها دلیل موفق شدن مهاجمان در حمله اخیر این بوده که عملکرد و محدوده وصله این ضعف امنیتی بسیار محدود بوده است. از طرفی برنامه WinRAR که کاربران برای باز کردن فایل‌های فشرده از آن استفاده می‌کنند، در برابر خطا بسیار انعطاف‌پذیر می‌باشد و چون فایل RAR بکارگرفته شده توسط مهاجمان دستکاری شده، برای نرم‌افزار WinRAR باگ به نظر نرسیده است.

در واقع از آنجایی که مهاجمان از روش حمله قبلی که در آن فایل مخرب، از طریق Microsoft Cabinetا (CAB.) بسته‌بندی می‌شد، استفاده نمی‌کنند و وصله ارائه شده را بی‌اثر می‌کنند، محققان سوفوس روش این حمله اخیر را CAB-less 40444 نامگذاری کرده‌اند. شواهد حاکی از آن است که اخیراً مهاجمان از یک نمونه اثبات‌گر مربوط به ضعف‌امنیتی مذکور که به صورت عمومی منتشر شده بود، جهت انتقال بدافزار Formbook در اسناد Office سوءاستفاده کرده‌اند.

همانطور که در تصویر زیر نمایش داده شده است، قربانیان در این حملات، ایمیلی با پیوست Profile.rar دریافت می‌کنند.

 

 

فایل فشرده RAR مذکور حاوی یک سند Word می‌باشد. این فایل RAR دستکاری شده و یک اسکریپت PowerShell نیز در ابتدای آن قرار داده شده است. مهاجمان، گیرندگان ایمیل را متقاعد کردند تا فایل RAR را از حالت فشرده خارج کرده و به سند Word دسترسی پیدا کنند. به محض باز شدن فایل Word در Office، یک صفحه وب که حاوی یک JavaScript مخرب است، فراخوانی می‌شود.

 

 

 

JavaScript مذکور، سند Word را مجبور به راه‌اندازی کد اسکریپت مخرب جاسازی شده در فایل فشرده Profile.rar می‌کند. سپس اسکریپت تعبیه شده در فایل فشرده مذکور، PowerShell را فراخوانی نموده و کد مخرب قابل اجرا را فعال نموده و در نهایت دستگاه قربانی به بدافزار Formbook آلوده شده است. مهاجمان ایمیل‌های هرزنامه (Spam email) را به مدت تقریباً 36 ساعت توزیع نموده و سپس فعالیت خود را متوقف کردند.

به نقل از محققان سوفوس، طول عمر محدود این حمله جدید می‌تواند به این معنی باشد که این تنها آزمایشی از سوی مهاجمان است و احتمالاً در حملات بعدی این روش جدید سوءاستفاده به طور گسترده مورد استفاده قرار خواهد گرفت. مراحل اجرای حملات اخیر در تصویر زیر نمایش داده شده است:

 

 

محققان سوفوس در ادامه عنوان نمودند که این تحقیق یادآوری می‌کند که اعمال وصله‌ها به تنهایی نمی‌تواند در همه موارد در برابر تمامی آسیب‌پذیری‌ها و حملات محافظت ایجاد کند. بلکه تنظیم محدودیت‌هایی جهت جلوگیری از راه‌اندازی تصادفی یک سند مخرب توسط کاربر، می‌تواند به محافظت در برابر چنین سوءاستفاده‌هایی کمک کند، اما همچنان کاربران ممکن است فریب خورده و سیستم‌های آن‌ها با کلیک روی دکمه Enable Content آلوده شوند. بنابراین آموزش کارمندان و تاکید بر عدم دانلود اسناد مشکوک ضمیمه شده در ایمیل بسیار ضروری است، به خصوص زمانی که ایمیلی حاوی پیوست‌هایی با فرمت‌های فشرده غیرمعمول یا ناآشنا از افراد یا سازمان‌های ناشناس دریافت می‌شود. در چنین زمانی توصیه می‌شود که کاربران همیشه با فرستنده یا شخصی که به ظاهر ایمیل از طرف او ارسال شده تماس گرفته یا از طریق مشورت با راهبر امنیتی سازمان خود صحت ایمیل ارسالی را بررسی نمایند.

مشروح گزارش سوفوس در خصوص جزییات سوءاستفاده اخیر از MSHTML در نشانی زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/2021/12/21/attackers-test-cab-less-40444-exploit-in-a-dry-run/

خروج از نسخه موبایل