آزمون آسیب پذیری نسبت به ویروس Duqu
همانطور که هفته گذشته در مقاله «ویروس Duqu و من و شما» اشاره شد، ویروس Duqu از یک نقطه ضعف تا به حال ناشناخته در سیستم عامل Windows سوءاستفاده میکند تا مجوز لازم برای نصب برنامه ویروس را بر روی کامپیوتر قربانی به دست آورد.
درست است که ویروس Duqu شرکتهای سازنده سیستمهای کنترل و مدیریت صنعتی و احتمالاً واحدهای صنعتی و تولیدی بزرگ را هدف قرار داده و شانس حمله این ویروس به کاربران عادی چندان زیاد نیست، ولی از این نقطه ضعف Windows هر نفوذگر و خرابکاری میتواند سوءاستفاده کند. نه ارتباطی به ویروس Duqu دارد و نه احتیاجی به فایل Word است. این نقطه ضعف در سیستم عامل Windows وجود دارد و اکنون که جزئیات آن به طور عمومی منتشر شده هر نفوذگری میتواند از آن به شیوه خودش سوءاستفاده کند. طبق هشدار امنیتی مایکروسافت، حتی یک بازدید ساده از یک صفحه وب دستکاری شده، میتواند شرایط سوءاستفاده از این نقطه ضعف و نفوذ به کامپیوتر را فراهم کند.
پس همانطور که قبلاً هم توصیه شده، نصب راهحل موقت مایکروسافت برای مسدود کردن دسترسی به بخش آسیبپذیر Windows، فعلاً تنها راه مقابله با این نقطه ضعف است. امیدواریم که هر چه زودتر شرکت مایکروسافت اصلاحیهای قطعی و دائمی برای ترمیم آن ارائه کند. راهحل موقت مایکروسافت در نشانی زیر قابل دسترسی است:
http://support.microsoft.com/kb/2639658
ولی چگونه میتوان مطمئن شد که راهحل موقت به درستی اعمال شده و بخش آسیبپذیر مسدود شده است؟ متاسفانه مایکروسافت روشی برای آزمون راهحل موقت خود ارائه نکرده است. ولی به روش زیر میتوانید به آسانی آسیبپذیر بودن سیستم خود نسبت به نقطه ضعف مورد استفاده ویروس Duqu را آزمایش کنید.
به سایت زیر مراجعه کنید:
http://www.microsoft.com/typography/web/embedding/demos/8/demo8.htm
این صفحه دارای فونت TrueType نهفته (embedded) است. مرکز پردازش این نوع فونت، همان بخش آسیبپذیر Windows است.
نکته مهم در تصویر، نوع فونت نمایش داده شده است. بر روی سیستمهایی که راهحل موقت مایکروسافت نصب نشده است و امکان سوءاستفاده از نقطه ضعف مورد بحث وجود دارد، تصویر به شکل زیر دیده خواهد شد.
بر روی سیستمهایی که راهحل موقت مایکروسافت نصب شده و بخش آسیبپذیر سیستم عامل Windows مسدود شده باشد، تصویر به شکل زیر نمایش داده خواهد شد.
این نقطه ضعف که مورد سوءاستفاده ویروس Duqu قرار گرفته، در سیستم عامل Windows است. هر نوع نرمافزاری که برای پردازش فونتهای از نوع TrueType به Kernel سیستم عامل Windows وابسته باشد، میتواند راهی برای سوءاستفاده و نفوذ به کامپیوتر به شمار آید.
برخی نرمافزارها مانند مرورگرهای Chrome و FireFox اصلاً امکان پردازش فونتهای از نوع Embedded TrueType را نمیدهند و حتی مشاهده صفحات وب دستکاری شده در این مرورگرها نمیتواند باعث آلودگی سیستم شود.