سومین تلاش مایکروسافت برای وصله‌ آسیب‌پذیری قدیمی استاکس‌نت

سومین تلاش مایکروسافت برای وصله‌ آسیب‌پذیری قدیمی استاکس‌نت یکی از وصله‌هایی که مایکروسافت به عنوان بخشی از به‌روزرسانی‌های امنیتی در ماه ژوئن سال ۲۰۱۷ منتشر کرد، نشان‌دهنده‌ی سومین تلاش این شرکت برای برطرف کردن یک آسیب‌پذیری قدیمی است که توسط بدافزار استاکس‌نت درسال ۲۰۱۰ میلادی مورد بهره‌برداری قرار گرفته است.

آسیب‌پذیری اولیه که با شناسه‌ی CVE-۲۰۱۰-۲۵۶۸ ردیابی می‌شود، به یک مهاجم اجازه می‌دهد تا از راه دور یک کد دلخواه در یک سامانه با استفاده از پرونده‌های میانبر خاص به کار رفته با پسوند LNK یا PlF را اجرا کند. آسیب‌پذیری CVE-۲۰۱۰-۲۵۶۸ یکی از چهار آسیب‌پذیری صفر-روزم است که در حملات استاکس‌نت ۲۰۱۰ به برنامه‌ی هسته‌ای ایران مورد بهره‌‌برداری قرار گرفته ‌است. با وجود اینکه مایکروسافت در آگوست ۲۰۱۰ آن را وصله کرد، یکی از آسیب‌پذیرترین مواردی است که همچنان توسط مهاجمان سایبری مورد بهره‌برداری و سوءاستفاده قرار می‌گیرد. در سال ۲۰۱۵ میلادی محققان دریافتند که وصله‌ی اولیه‌ی مایکروسافت را می‌توان دور زد و غول تکنولوژی یک وصله‌ی دیگر را منتشر کرد. این نقص که با شناسه‌ی CVE-۲۰۱۵-۰۰۹۶ ردیابی شده، برای مایکروسافت به صورت یک مساله‌ی کاملاً جدید مورد توجه قرار گرفته است. بر اساس یک مشاوره‌نامه که در روز پنجشنبه توسط مرکز هماهنگی CERT در دانشگاه کارنگی‌ملون منتشر شد، فرد دیگری روش جدیدی برای دور زدن وصله‌های مایکروسافت برای این آسیب‌پذیری کشف کرده است. هیچ اطلاعاتی از کسانی که روش جدید را کشف کرده‌اند، ارائه نشده است. محققان در مشاوره‌نامه‌ی خود گفتند: «وصله‌ی اولیه برای CVE-۲۰۱۰-۲۵۶۸ و وصله‌ی بعدی آن برای CVE-۲۰۱۵-۰۰۹۶ هر دو ناکافی هستند زیرا آن‌ها پرونده‌های LNK را در نظر نمی‌گیرند که از ویژگی‌های SpecialFolderDataBloc یا KnownFolderDataBlock برای مشخص کردن مکان یک پوشه استفاده می‌کنند. چنین پرونده‌هایی قادر به دور زدن فهرست سفید هستند که در وصله برای آسیب‌پذیری CVE-۲۰۱۰-۲۵۶۸ اجرا شده‌ است. در مشاوره‌نامه همچنین توضیح داده شده است: «با متقاعد کردن کاربر برای نمایش یک پرونده‌ی میانبر خاص، مهاجم ممکن است بتواند کد دلخواه را با امتیازات کاربر اجرا کند. بسته به سامانه عامل و پیکربندی AutoRun/AutoPlay، می‌تواند به طور خودکار با اتصال یک دستگاه یو‌اس‌بی بهره‌برداری اتفاق بیفتد.» محققان اشاره کردند که مایکرسافت با به‌روزرسانی امنیتی خود در ماه ژوئن، یک آسیب‌پذیری جدید که با شناسه‌ی CVE-۲۰۱۷-۸۴۶۴ ردیابی شده را برطرف کرده ‌است. بهره‌برداری از این حفره‌ی امنیتی از جمله یک ماژول متااسپلویت در حال حاضر به‌طور عمومی در دسترس است. 

این سازمان هم چنین اشاره کرد که علاوه بر استفاده از وصله‌های مایکروسافت، کاربران می‌توانند با مسدود کردن اتصالات خروجی بر روی درگاه‌های TCP و UDP با شماره‌های ۱۳۹ و ۴۴۵، از حملات احتمالی جلوگیری کنند. این امر مانع دسترسی دستگاه به کارگزار SMB از راه دور می‌شود که معمولاً برای به کار بردن آسیب‌پذیری مورد نیاز است.