روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به لطف زیرسیستمِ «پیشگیری از اکسپلویتِ کسپرسکی[1]» در محصولاتمان، اخیراً از طریق آسیب‌پذیری‌ای در مرورگرِ گوگل کروم موفق به شناسایی یک اکسپلویت شدیم؛ برنامه‌ا‌ی مخرب که اجازه می‌دهد مهاجمین به کامپیوتر، دسترسیِ غیرقانونی پیدا کنند. این اکسپلویت از آسیب‌پذیریِ روز صفر استفاده می‌کرد؛ آسیب‌پذیری‌ای که آن زمان برای توسعه‌دهندگان هنوز ناشناخته بود. به این آسیب‌پذیری شناسه‌ی CVE-2019-13720 داده شد. ما گزارش این آسیب‌پذیری را به گوگل دادیم که البته این شرکت هم جدیدترین آپدیت خود این مشکل را رفع کرد. در ادامه با ما همراه شوید تا توضیح دهیم این حمله (موسوم به Operation WizardOpium) چطور از چنین آسیب‌پذیری‌ای سوءاستفاده کرد.

WizardOpium: خبرهای بد برای کره‌ای‌ها

 این حمله که ما نامش را Operation WizardOpium گذاشتیم از سایت خبری کره‌ای شروع شد؛ جایی که مهاجمین کدی آلوده را بدان تزریق کردند: اسکریپتی از سایت طرف‌سوم لود می‌شود که ابتدا چک می‌کند ببیند آیا سیستم مناسب آلودگی هست یا نه و اینکه کاربر از کدام مرورگر استفاده می‌کند (مجرمان سایبری بیشتر به کروم نسخه‌ی 65 به بالا برای ویندوز علاقه نشان می‌دادند).

اگر سیستم‌عامل و مرورگر مطابقِ میل مهاجمین بود آنوقت اسکریپت، اکسپلویتی را تکه تکه دانلود می‌کند و بعد دوباره روی همشان گذاشته و آن را رمزگشایی می‌کند. اولین کاری که این اکسپلویت انجام می‌دهد، یک چک دیگر روی نسخه‌ی کروم است. در این مرحله وسواسی‌تر می‌شود و منحصراً با نسخه‌های 76 یا 77 کار می‌کند. ممکن است کیت ابزار حاوی اکسپلویت‌های دیگر (برای نسخه‌های مختلف مرورگر) باشد اما هنوز نمی‌توانیم با اطمینان چنین ادعایی داشته باشیم.

اکسپلویت بعد از تأیید پیدا کردن چیزی که دنبالش بود سعی می‌کند با استفاده از مموری کامپیوتر به آسیب‌پذیری  CVE-2019-13720 نفوذ کند. این اکسپلویت با دستکاریِ مموری این مجوز را دریافت می‌کند که اطلاعات داخل دستگاه را بخواند و بنویسد که البته بلافاصله هم این اطلاعات را دانلود و رمزگشایی نموده و بدافزار را اجرا می‌کند. مورد دوم کاربر به کاربر متفاوت است. محصولات لابراتوار کسپرسکی این اکسپلویت را با حکم Exploit.Win32.Generic شناسایی کردند.

کروم را آپدیت کنید

چنانچه سایت‌های خبری کره‌ای نمی‌خوانید پیشنهاد می‌دهیم فوراً کروم را به نسخه‌‌ی 78.0.3904.87 آپدیت کنید. هنوز یک اکسپلویت آن بیرون وجود دارد که دارد از این آسیب‌پذیری استفاده می‌کند و این بدان معناست که شاید اکسپلویت‌های دیگر هم دنباله‌روی این سناریو باشند. شاید به محض اینکه اطلاعات این آسیب‌پذیری رایگان در دسترس همگان قرار گرفت شاهد چنین اتفاقی باشیم.

گوگل برای ویندوز، مک‌او‌اس و لینوکس آپدیت کرومی بیرون داده است. کروم به طور خودکار آپدیت می‌شود و تنها کاری که باید انجام دهید ریستارت کردن مرورگر است. برای اطمینان بیشتر، چک کنید ببینید آیا آپدیت نصب شده است یا نه. برای انجام این کار روی سه نقطه عمودی گوشه بالا سمت راست مرورگر کلیک کرده (Customize and control Google Chrome) و Help → About Google Chrome را انتخاب کنید. اگر عددی که می‌بینید 78.0.3904.87 یا بالاتر بود همه‌چیز بر طبق روال درستش است. اگر نه، پس اینجاست که کروم شروع می‌کند به گشتن دنبال آپدیت‌های موجود و نصب آن‌ها (باید دایره‌ای چرخان را در سمت چپ مشاهده کنید) و بعد از چند ثانیه عدد جدیدترین نسخه روی نمایشگر پدیدار می‌شود: روی گزینه‌ی Relaunch کلیک کنید.

[1]  Kaspersky Exploit Prevention

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.