در روزهای اخیر، دو نقطه ضعف در محصولات مایکروسافت که باعث ایجاد مشکلاتی شده، توجه بسیاری را به خود جلب کرده است. یکی از این دو نقطه ضعف اخیراً اصلاح شده ولی برای دیگری، هنوز اصلاحیه ای از سوی مایکروسافت ارائه نشده است.
یکی از این دو نقطه ضعف، در مرورگر Internet Explorer وجود دارد و با کشاندن کاربر به یک سایت مخرب که حاوی برنامه مخربی از نوع Active X می باشد، قابل سوء استفاده است. شرکت مایکروسافت این نقطه ضعف را در اصلاحیه اخیر خود به شماره MS12-037 ترمیم و برطرف کرده است. ولی بر اساس گزارش های دریافتی توسط شرکت های امنیتی، سوء استفاده گسترده ای از این نقطه ضعف طی روزهای اخیر صورت گرفته است. برخی سایت های مشهور و معتبر مانند سایت عضو بین الملل در هنک کنگ مورد نفوذ قرار گرفته و برنامه مخرب Active X برای سوء استفاده از این نقطه ضعف در صفحات این سایت، کار گذاشته شده است.
همچنین روش و ابزار سوء استفاده از این نقطه ضعف در مجموعه نرم افزاری Metasploit که یک نرم افزار “متن آزاد” (Open Source) برای آزمون نفوذ پذیری (Penetration Testing) است، به تازگی اضافه شده است.
نقطه ضعف دوم مایکروسافت که مورد سوء استفاده گسترده قرار گرفته است، هنوز اصلاح نشده و شرکت مایکروسافت تنها یک راه حل موقت برای آن ارائه کرده است. این نقطه ضعف در بخش XML Core Services در سیستم عامل Windows وجود دارد. سوء استفاده از این نقطه ضعف از طریق مرورگر IE و یا نرم افزار Office امکان پذیر است و دسترسی غیر مجاز به سیستم آسیب پذیر را از راه دور فراهم می آورد. بر روی برخی سیستم ها، وجود این نقطه ضعف باعث می شود که در هنگام استفاده از سرویس پست الکترونیکی Gmail، پیام هشدار مبنی بر آسیب پذیر بودن سیستم و احتمال شنود ترافیک اینترنت کاربر، به نمایش در آید.
روش و ابزار سوء استفاده از این نقطه ضعف نیز در نرم افزار Metasploit گنجانده شده و بدین طریق می توان با استفاده از مرورگرهای IE6 و IE7 بر روی سیستم عامل Win XP SP3، سرویس XML Core Services نسخه 3.0 را مورد حمله و نفوذ قرار داد.
افزوده شدن روش های استفاده از این دو نقطه ضعف در ابزارهای آزمون نفوذ، نظیر Metasploit، شانس سوء استفاده و بهره برداری خلافکارانه از این نقاط ضعف را افزایش می دهد.
نصب اصلاحیه MS12-037 و راه حل موقت Fix it-2719615 به همه کاربران و مدیران شبکه توصیه می شود.