امکان دور زدن پچ امنیتی مایکروسافت برای استقرار بدافزار Formbook

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir attackers bypass microsoft security patch formbook malware 1
محققان Sophos Labs یافته‌های خود را در مورد اینکه چگونه مهاجمان از یک سواستفاده جدید برای دور زدن پچ آسیب‌پذیری مهمی که بر فرمت فایل مایکروسافت آفیس تأثیر می‌گذارد، به اشتراک گذاشته‌اند.

محققان فاش کردند که مهاجمان یک اکسپلویت proof-of-concept آفیس را که به صورت عمومی در دسترس بود، گرفته و از آن برای توزیع بدافزار Formbook استفاده کرده‌اند. این بدافزار برای حدود ۳۶ ساعت از طریق‌ ایمیل‌های اسپم تحویل داده شده و سپس ناپدید شده است

لازم به ذکر است که بدافزار Formbook ابتدا در اکتبر ۲۰۱۷ شناسایی شد. در آن بازه اطلاعات حساس زیرساخت‌های سایبری حیاتی از جمله هوافضا، پیمانکاران صنایع دفاعی و بخش‌های تولیدی در کره جنوبی و ایالات متحده را به سرقت برده است.

از این آسیب‌پذیری تحت عنوان CVE-۲۰۲۱-۴۰۴۴۴ یاد شده است. پچ منتشر شده توسط مایکروسافت برای جلوگیری از اجرای کدی بود که آرشیو Microsoft Cabinet (CAB) حاوی یک فایل اجرایی مخرب را دانلود می‌کرد.

مهاجمان به نوعی تکنیکی را برای دور زدن این پچ با جاسازی یک فایل Word در یک آرشیو RAR که بطور ویژه طراحی شده بود، شناسایی کرده‌اند. آرشیو‌ها در یک کمپین‌ایمیل هرزنامه (اسپم) گنجانده شدند که حدود ۳۶ ساعت و بین ۲۴ تا ۲۵ اکتبر ۲۰۲۱ به طول انجامید، که نشان می‌دهد حمله به نوعی صرفاً یک آزمایش و تست سرد بوده است.

محققان خاطرنشان کردند: «پیوست‌های اسپم‌ها، تشدید سواستفاده مهاجم از باگ -۴۰۴۴۴ را نشان داده و مشخص می‌کند که حتی یک پچ همیشه نمی‌تواند اقدامات یک مهاجم با انگیزه و به اندازه کافی ماهر را کاهش دهد».
takian.ir attackers bypass microsoft security patch formbook malware 2
برای اطلاع کاربران، CVE-۲۰۲۱-۴۰۴۴۴ نیز به عنوان یک آسیب‌پذیری MSHTML طبقه‌بندی شده است که در طول این سال مورد سواستفاده قرار گرفته است. در سپتامبر و نوامبر ۲۰۲۱، گزارش شد که از این آسیب‌پذیری در حملات به وزارت کشور روسیه و مرکز راکت دولتی سواستفاده شده است.

در ماه نوامبر، گزارش شد که از این آسیب‌پذیری برای سرقت اطلاعات ورود کاربران Gmail و Instagram از طریق حملات فیشینگ استفاده شده است.

استفاده از اسکریپت PowerShell برای آماده‌سازی فایل Word
به گفته محققان آزمایشگاه سوفوس، عوامل تهدید مرتبط با این کمپین از یک اسکریپت PowerShell برای قرار دادن فایل Word آلوده در آرشیو استفاده کرده‌اند. هنگامی که قربانی فایل آرشیو را برای دسترسی به اسناد باز می‌کند، این اسکریپت اجرا شده و منجر به استقرار بدافزار Formbook می‌گردد.

با توجه به اینکه دامنه پچ نسبتاً محدود بوده و همچنین به دلیل اینکه WinRAR چطور فایل‌هایی را که بایت‌های مجیک مناسب دارند را بدون توجه به مکان این بایت‌ها نمایش داده و اجرا می‌کند، این حمله را تبدیل به یک حمله موفقیت‌آمیز نمود.

اندرو برانت، محقق اصلی تهدیدات سوفوس، اظهار داشت: "از نظر تئوری، این رویکرد حمله نباید کارساز باشد، اما این کار توسط مهاجمان انجام شده است".

برچسب ها: Office Word, اسپم, CAB, RAR, Winrar, Microsoft Cabinet, Office, Exploit, Word, آفیس, MSHTML, Formbook, هرزنامه, PowerShell, Email, Patch, cybersecurity, Microsoft, جیمیل, Java Script, Instagram, اینستاگرام, آسیب‌پذیری, Gmail , Spam, malware, مایکروسافت, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ