روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به لطف زیرسیستمِ «پیشگیری از اکسپلویتِ کسپرسکی[1]» در محصولاتمان، اخیراً از طریق آسیبپذیریای در مرورگرِ گوگل کروم موفق به شناسایی یک اکسپلویت شدیم؛ برنامهای مخرب که اجازه میدهد مهاجمین به کامپیوتر، دسترسیِ غیرقانونی پیدا کنند. این اکسپلویت از آسیبپذیریِ روز صفر استفاده میکرد؛ آسیبپذیریای که آن زمان برای توسعهدهندگان هنوز ناشناخته بود. به این آسیبپذیری شناسهی CVE-2019-13720 داده شد. ما گزارش این آسیبپذیری را به گوگل دادیم که البته این شرکت هم جدیدترین آپدیت خود این مشکل را رفع کرد. در ادامه با ما همراه شوید تا توضیح دهیم این حمله (موسوم به Operation WizardOpium) چطور از چنین آسیبپذیریای سوءاستفاده کرد.
WizardOpium: خبرهای بد برای کرهایها
این حمله که ما نامش را Operation WizardOpium گذاشتیم از سایت خبری کرهای شروع شد؛ جایی که مهاجمین کدی آلوده را بدان تزریق کردند: اسکریپتی از سایت طرفسوم لود میشود که ابتدا چک میکند ببیند آیا سیستم مناسب آلودگی هست یا نه و اینکه کاربر از کدام مرورگر استفاده میکند (مجرمان سایبری بیشتر به کروم نسخهی 65 به بالا برای ویندوز علاقه نشان میدادند).
اگر سیستمعامل و مرورگر مطابقِ میل مهاجمین بود آنوقت اسکریپت، اکسپلویتی را تکه تکه دانلود میکند و بعد دوباره روی همشان گذاشته و آن را رمزگشایی میکند. اولین کاری که این اکسپلویت انجام میدهد، یک چک دیگر روی نسخهی کروم است. در این مرحله وسواسیتر میشود و منحصراً با نسخههای 76 یا 77 کار میکند. ممکن است کیت ابزار حاوی اکسپلویتهای دیگر (برای نسخههای مختلف مرورگر) باشد اما هنوز نمیتوانیم با اطمینان چنین ادعایی داشته باشیم.
اکسپلویت بعد از تأیید پیدا کردن چیزی که دنبالش بود سعی میکند با استفاده از مموری کامپیوتر به آسیبپذیری CVE-2019-13720 نفوذ کند. این اکسپلویت با دستکاریِ مموری این مجوز را دریافت میکند که اطلاعات داخل دستگاه را بخواند و بنویسد که البته بلافاصله هم این اطلاعات را دانلود و رمزگشایی نموده و بدافزار را اجرا میکند. مورد دوم کاربر به کاربر متفاوت است. محصولات لابراتوار کسپرسکی این اکسپلویت را با حکم Exploit.Win32.Generic شناسایی کردند.
کروم را آپدیت کنید
چنانچه سایتهای خبری کرهای نمیخوانید پیشنهاد میدهیم فوراً کروم را به نسخهی 78.0.3904.87 آپدیت کنید. هنوز یک اکسپلویت آن بیرون وجود دارد که دارد از این آسیبپذیری استفاده میکند و این بدان معناست که شاید اکسپلویتهای دیگر هم دنبالهروی این سناریو باشند. شاید به محض اینکه اطلاعات این آسیبپذیری رایگان در دسترس همگان قرار گرفت شاهد چنین اتفاقی باشیم.
گوگل برای ویندوز، مکاواس و لینوکس آپدیت کرومی بیرون داده است. کروم به طور خودکار آپدیت میشود و تنها کاری که باید انجام دهید ریستارت کردن مرورگر است. برای اطمینان بیشتر، چک کنید ببینید آیا آپدیت نصب شده است یا نه. برای انجام این کار روی سه نقطه عمودی گوشه بالا سمت راست مرورگر کلیک کرده (Customize and control Google Chrome) و Help → About Google Chrome را انتخاب کنید. اگر عددی که میبینید 78.0.3904.87 یا بالاتر بود همهچیز بر طبق روال درستش است. اگر نه، پس اینجاست که کروم شروع میکند به گشتن دنبال آپدیتهای موجود و نصب آنها (باید دایرهای چرخان را در سمت چپ مشاهده کنید) و بعد از چند ثانیه عدد جدیدترین نسخه روی نمایشگر پدیدار میشود: روی گزینهی Relaunch کلیک کنید.
[1] Kaspersky Exploit Prevention
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.