خلاصه: ماه مِی ۲۰۲۰، Kaspersky از وقوع حملهای به شرکتهای کره جنوبی جلوگیری کرد. تحلیل بیشتر حمله نشان داد که در این حمله از ۲ آسیبپذیری روز صفر استفاده شده است که متأسفانه از سال ۲۰۱۸ دارای اکسپلویت فعّال هستند: آسیبپذیریهایی در مرورگر Internet Explorer و سیستمعامل Windows. ماه ژوئن کسپراسکی این آسیبپذیریها را به مایکروسافت گزارش و یازدهم آگوست مایکروسافت وصلههایی را برای رفع آنها عرضه کرد.
این ماه غول بزرگ فناوری، مایکروسافت ۱۲۰ آسیبپذیری از ۱۳ محصول خود را منتشر و وصلههایی به منظور رفع آنها ارائه کرد. در این میان، ۲ آسیبپذیری بسیار حائز اهمیت هستند؛ چرا که به مدّت دو سال توسط هکرها و گروههای تهدید مورد سوءاستفاده بودهاند. به عبارت دیگر این ۲ آسیبپذیری اکسپلویت روز صفر داشتند.
آسیبپذیری روز صفر شماره ۱: CVE-2020-1464
این آسیبپذیری در سیستمعامل ویندوز (نسخههای ویندوز ۷، ۸.۱ و ۱۰ و نسخههای Windows Server) است. با سوءاستفاده از این آسیبپذیری که ریشه در مولفه File Signature Handler سیستمعامل دارد؛ امضای فایل به اشتباه اعتبارسنجی میشود. بدین ترتیب مهاجمین میتوانند مکانیزمهای امنیتی ویندوز را دور زده و فایلهای بدخواه با امضای جعلی را بارگذاری کنند. برای سوءاستفاد از این آسیبپذیری دسترسی محلی به سیستم هدف لازم و یک بار احراز اصالت در آن کافی است. خوشبختانه مایکروسافت این ماه وصله این آسیبپذیری را ارائه کرده است که بایستی سریعاً اعمال شود.
آسیبپذیری روز صفر شماره۲: CVE-2020-1380
این آسیبپذیری در مرورگر Internet Explorer شناسایی و ریشه در موتور اسکریپت آن دارد. مایکروسافت، گزارشی از کسپراسکی دریافت میکند که هکرها آسیبپذیری از نوع «اجرای کد از راه دور» یا RCE در موتور اسکریپت IE یافته و در حملات خود از آن استفاده میکنند. با پیگیری مایکروسافت این آسیبپذیری شناسایی و وصله میشود. نکته جالب توجّه آن است که آسیبپذیری CVE-2020-1380 تنها IE را تحت تأثیر قرار نمیدهد بلکه بر سایر محصولات مایکروسافت از جمله محصول Office این شرکت اثر دارد. علّت آن است که برنامههایی چون آفیس از موتور اسکریپت IE برای جاسازی و تحویل صفحات وب در اسناد استفاده میکنند. برای سوءاستفاده از این آسیبپذیری نیازی به احراز اصالت مهاجم نیست. نهایتاً حمله موفّق با سوءاستفاده از این آسیبپذیری برای مهاجم، همان دسترسیها را فراهم میسازد که کاربر کنونی دارد.
