بهره‌جویی گسترده مهاجمان از آسیب‌پذیری Double Kill

شرکت امنیتی تراست‌ویو از اجرای حملاتی خبر داده که در جریان آن، مهاجمان با بهره‌جویی از یک ضعف امنیتی در بخش موتور VBScript مرورگر Internet Explorer دستگاه را به بدافزار آلوده می‌کنند.

به گزارش شرکت مهندسی شبکه گستر، ضعف امنیتی مذکور با شناسه CVE-2018-8174 که با نام Double Kill نیز شناخته می‌شود هفته گذشته در اصلاحیه‌های ماهانه مایکروسافت ترمیم و برطرف شد.

به نظر می‌رسد روش رخنه در این حملات ایمیل‌های فیشینگ با پیوست فایل RTF است. فایل مذکور حاوی یک شئی OLE است و در آن به کد بهره‌جوی VBScript که بر روی سرور تحت کنترل مهاجمان میزبانی شده اشاره می‌شود.

اما چرا مهاجمان این حملات بجای درج مستقیم لینک در متن ایمیل از روشی پردردسرتر یعنی ذخیره بهره‌جو بر روی یک سرور و تزریق کد ارجاع‌دهنده به آن در یک فایل RTF استفاده کرده‌اند؟

از لحاظ فنی این بهره‌جو تنها در صورت اجرا در مرورگر Internet Explorer عملکرد صحیحی خواهد داشت. در نتیجه اگر مرورگر پیش‌فرض کاربر، مرورگری غیر از Internet Explorer باشد، عملاً کلیک بر روی لینک درون ایمیل، حمله را ناکام خواهد گذاشت. حال آنکه اجرای بهره‌جو در MS Word که فایل RTF در آن باز می‌شود سبب پردازش شدن آن از طریق فایل mshtml.dll – که همان موتور مرورگر Internet Explorer است – شده و بنابراین صرف‌نظر از مرورگر پیش‌فرض دستگاه، بهره‌جو به درستی عمل خواهد کرد.

علاوه بر نمونه بررسی شده در این خبر از حدود سه هفته پیش چندین گروه نفوذگر دیگر نیز به روش‌های مختلف اقدام به بهره‌جویی از Double Kill کرده‌اند که همانطور که اشاره شد اصلاحیه ترمیم کننده آن، هفته پیش، توسط شرکت مایکروسافت ارائه شد. بنابراین به تمامی کاربران و مدیران شبکه توصیه اکید می‌شود در صورتی که تاکنون نسبت به نصب اصلاحیه مربوطه اقدام نکرده‌اند انجام آن را با اولویت بالا در دستور کار قرار دهند.