آزمون آسیب پذیری نسبت به ویروس Duqu

همانطور که هفته گذشته در مقاله «ویروس Duqu و من و شما» اشاره شد، ویروس Duqu از یک نقطه ضعف تا به حال ناشناخته در سیستم عامل Windows سوءاستفاده می‏کند تا مجوز لازم برای نصب برنامه ویروس را بر روی کامپیوتر قربانی به دست آورد.

درست است که ویروس Duqu شرکت‏های سازنده سیستم‏های کنترل و مدیریت صنعتی و احتمالاً واحدهای صنعتی و تولیدی بزرگ را هدف قرار داده و شانس حمله این ویروس به کاربران عادی چندان زیاد نیست، ولی از این نقطه ضعف Windows هر نفوذگر و خرابکاری می‏تواند سوءاستفاده کند. نه ارتباطی به ویروس Duqu دارد و نه احتیاجی به فایل Word است. این نقطه ضعف در سیستم عامل Windows وجود دارد و اکنون که جزئیات آن به طور عمومی منتشر شده هر نفوذگری می‏تواند از آن به شیوه خودش سوءاستفاده کند. طبق هشدار امنیتی مایکروسافت، حتی یک بازدید ساده از یک صفحه وب دستکاری شده، می‏تواند شرایط سوءاستفاده از این نقطه ضعف و نفوذ به کامپیوتر را فراهم کند.

پس همانطور که قبلاً هم توصیه شده، نصب راه‏حل موقت مایکروسافت برای مسدود کردن دسترسی به بخش آسیب‏پذیر Windows، فعلاً تنها راه مقابله با این نقطه ضعف است. امیدواریم که هر چه زودتر شرکت مایکروسافت اصلاحیه‏ای قطعی و دائمی برای ترمیم آن ارائه کند. راه‏حل موقت مایکروسافت در نشانی زیر قابل دسترسی است:

http://support.microsoft.com/kb/2639658

ولی چگونه می‏توان مطمئن شد که راه‏حل موقت به درستی اعمال شده و بخش آسیب‏پذیر مسدود شده است؟ متاسفانه مایکروسافت روشی برای آزمون راه‏حل موقت خود ارائه نکرده است. ولی به روش زیر می‏توانید به آسانی آسیب‏پذیر بودن سیستم خود نسبت به نقطه ضعف مورد استفاده ویروس Duqu را آزمایش کنید.

به سایت زیر مراجعه کنید:

http://www.microsoft.com/typography/web/embedding/demos/8/demo8.htm

این صفحه دارای فونت TrueType نهفته (embedded) است. مرکز پردازش این نوع فونت، همان بخش آسیب‏پذیر Windows است.

نکته مهم در تصویر، نوع فونت نمایش داده شده است. بر روی سیستم‏هایی که راه‏حل موقت مایکروسافت نصب نشده است و امکان سوءاستفاده از نقطه ضعف مورد بحث وجود دارد، تصویر به شکل زیر دیده خواهد شد.

بر روی سیستم‏هایی که راه‏حل موقت مایکروسافت نصب شده و بخش آسیب‏پذیر سیستم عامل Windows مسدود شده باشد، تصویر به شکل زیر نمایش داده خواهد شد.

این نقطه ضعف که مورد سوءاستفاده ویروس Duqu قرار گرفته، در سیستم عامل Windows است. هر نوع نرم‏افزاری که برای پردازش فونت‏های از نوع TrueType به Kernel سیستم عامل Windows وابسته باشد، می‏تواند راهی برای سوءاستفاده و نفوذ به کامپیوتر به شمار آید.

برخی نرم‏افزارها مانند مرورگرهای Chrome و FireFox اصلاً امکان پردازش فونت‏های از نوع Embedded TrueType را نمی‏دهند و حتی مشاهده صفحات وب دستکاری شده در این مرورگرها نمی‏تواند باعث آلودگی سیستم شود.