CAB-less 40444؛ تکنیک جدید مهاجمان برای دور زدن وصله CVE-2021-40444
شرکت سوفوس (.Sophos, Ltd)، به تازگی جزئیات یک سوءاستفاده جدید را منتشر کرده که در آن مهاجمان سعی در بیاثر نمودن وصله آسیبپذیری به شناسه CVE-2021-40444 از طریق فایلهای Microsoft Office را دارند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده جزییات سوءاستفاده از ضعفامنیتی مذکور مورد بررسی قرار گرفته است.
آسیبپذیری موجود در MSHTML به شناسه CVE-2021-40444، برای “اجرای کد به صورت از راه دور” (Remote Code Execution – به اختصار RCE) در نسخههای مختلف سیستمعامل Windows میتواند توسط مهاجمان مورد بهرهجویی قرار گیرد. آنها از ضعفامنیتی مذکور برای اجرای کد یا فرامین بر روی ماشین هدف بدون دخالت کاربر سوءاستفاده میکنند. مهاجمان در این روش معمولاً یک سند Office را برای کاربر ارسال نموده و کاربر را متقاعد میکنند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیبپذیری موجود در MSHTML سوءاستفاده میکنند. البته مایکروسافت (.Microsoft Corp) این آسیبپذیری را در اصلاحیههای امنیتی ماه سپتامبر 2021 برطرف نموده است.
نتایج یافتههای محققان سوفوس حاکی از آن است که بلافاصله پس از انتشار وصلههای مایکروسافت جهت ترمیم ضعف امنیتی مذکور، مهاجمان در تلاش برای دور زدن آنها میباشند.
در تاریخهای 2 و 3 آبان 1400، محققان سوفوس چندین نمونه ایمیل هرزنامه حاوی فایلهای پیوست را دریافت کردند. بررسی فایلهای پیوست حاکی از سوءاستفاده مهاجمان از باگ CVE-2021-40444 میباشد؛ این امر نشان میدهد که حتی وصله نمودن یک ضعف امنیتی نمیتواند مانع از اقدامات مخرب یک مهاجم ماهر شود.
در حملاتی که پیش از عرضه اصلاحیه سپتامبر 2021 مایکروسافت صورت گرفته بود، جهت بهرهجویی از ضعف امنیتی CVE-2021-40444، کد بدافزاری در یک فایل Microsoft Cabinetو(CAB.) در داخل یک سند مخرب Office بستهبندی شده بود. پس از ترمیم آسیبپذیری مذکور و ارائه وصله آن در ماه سپتامبر توسط مایکروسافت، مهاجمان با بررسی یک نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) مربوط به ضعفامنیتی مذکور، متوجه شدند که میتوانند با قرار دادن کد بدافزاری در یک فایل فشرده RAR دستکاری شده، از زنجیره حمله به صورت متفاوتی استفاده کرده و مجدد ضعف امنیتی مذکور را به گونه دیگری مورد سوءاستفاده قرار دهند.
از فایل فشرده RAR قبلاً نیز برای توزیع کدهای مخرب استفاده میشده، اما بنا بر اظهارات محققان سوفوس، فرایند مورد استفاده در اینجا بهطور غیرعادی پیچیده بود.
به احتمال زیاد تنها دلیل موفق شدن مهاجمان در حمله اخیر این بوده که عملکرد و محدوده وصله این ضعف امنیتی بسیار محدود بوده است. از طرفی برنامه WinRAR که کاربران برای باز کردن فایلهای فشرده از آن استفاده میکنند، در برابر خطا بسیار انعطافپذیر میباشد و چون فایل RAR بکارگرفته شده توسط مهاجمان دستکاری شده، برای نرمافزار WinRAR باگ به نظر نرسیده است.
در واقع از آنجایی که مهاجمان از روش حمله قبلی که در آن فایل مخرب، از طریق Microsoft Cabinetا (CAB.) بستهبندی میشد، استفاده نمیکنند و وصله ارائه شده را بیاثر میکنند، محققان سوفوس روش این حمله اخیر را CAB-less 40444 نامگذاری کردهاند. شواهد حاکی از آن است که اخیراً مهاجمان از یک نمونه اثباتگر مربوط به ضعفامنیتی مذکور که به صورت عمومی منتشر شده بود، جهت انتقال بدافزار Formbook در اسناد Office سوءاستفاده کردهاند.
همانطور که در تصویر زیر نمایش داده شده است، قربانیان در این حملات، ایمیلی با پیوست Profile.rar دریافت میکنند.
فایل فشرده RAR مذکور حاوی یک سند Word میباشد. این فایل RAR دستکاری شده و یک اسکریپت PowerShell نیز در ابتدای آن قرار داده شده است. مهاجمان، گیرندگان ایمیل را متقاعد کردند تا فایل RAR را از حالت فشرده خارج کرده و به سند Word دسترسی پیدا کنند. به محض باز شدن فایل Word در Office، یک صفحه وب که حاوی یک JavaScript مخرب است، فراخوانی میشود.
JavaScript مذکور، سند Word را مجبور به راهاندازی کد اسکریپت مخرب جاسازی شده در فایل فشرده Profile.rar میکند. سپس اسکریپت تعبیه شده در فایل فشرده مذکور، PowerShell را فراخوانی نموده و کد مخرب قابل اجرا را فعال نموده و در نهایت دستگاه قربانی به بدافزار Formbook آلوده شده است. مهاجمان ایمیلهای هرزنامه (Spam email) را به مدت تقریباً 36 ساعت توزیع نموده و سپس فعالیت خود را متوقف کردند.
به نقل از محققان سوفوس، طول عمر محدود این حمله جدید میتواند به این معنی باشد که این تنها آزمایشی از سوی مهاجمان است و احتمالاً در حملات بعدی این روش جدید سوءاستفاده به طور گسترده مورد استفاده قرار خواهد گرفت. مراحل اجرای حملات اخیر در تصویر زیر نمایش داده شده است:
محققان سوفوس در ادامه عنوان نمودند که این تحقیق یادآوری میکند که اعمال وصلهها به تنهایی نمیتواند در همه موارد در برابر تمامی آسیبپذیریها و حملات محافظت ایجاد کند. بلکه تنظیم محدودیتهایی جهت جلوگیری از راهاندازی تصادفی یک سند مخرب توسط کاربر، میتواند به محافظت در برابر چنین سوءاستفادههایی کمک کند، اما همچنان کاربران ممکن است فریب خورده و سیستمهای آنها با کلیک روی دکمه Enable Content آلوده شوند. بنابراین آموزش کارمندان و تاکید بر عدم دانلود اسناد مشکوک ضمیمه شده در ایمیل بسیار ضروری است، به خصوص زمانی که ایمیلی حاوی پیوستهایی با فرمتهای فشرده غیرمعمول یا ناآشنا از افراد یا سازمانهای ناشناس دریافت میشود. در چنین زمانی توصیه میشود که کاربران همیشه با فرستنده یا شخصی که به ظاهر ایمیل از طرف او ارسال شده تماس گرفته یا از طریق مشورت با راهبر امنیتی سازمان خود صحت ایمیل ارسالی را بررسی نمایند.
مشروح گزارش سوفوس در خصوص جزییات سوءاستفاده اخیر از MSHTML در نشانی زیر قابل دریافت و مطالعه است:
https://news.sophos.com/en-us/2021/12/21/attackers-test-cab-less-40444-exploit-in-a-dry-run/