روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ کارمندانی که ایمیلهای خارجی دریافت میکنند معمولاً اطلاعاتی در مورد اینکه چه فایلهایی به طوربالقوه خطرناک هستند نیز به دستشان میرسد. برای مثال فایلهای EXE به طور پیشفرض ناامن تلقی میشوند؛ همینطور فایلهای DOCX و XLSX که میتوانند در خود ماکروهای آلوده داشته باشند. فایلهای متنی اما معمولاً از ابتدا فایلهایی امن انگاشته شدهاند؛ زیرا نمیتوانند حاوی چیزی غیر از متن ساده باشند. اما این همه ماجرا نیست. محققین روشی پیدا کردهاند که توسط آن میشود آسیبپذیریای را (که اکنون پچ شده) در همین فرمت اکسپلویت کرد. آنها همچنین آسیبپذیریهای بیشتری را نیز کشف کردند. فرمت فایل در واقع ایراد کار نیست؛ چالش نحوهی مدیریت کردن متنها توسط برنامههاست.
آسیبپذیری CVE-2019-8761 مکاواس
محققی به نام پاولس ییبلو روش حمله کنجکاوانه را معرفی کرد: حمله به کامپیوترهای مکاواس از طریق فایلهای متنی. مانند هر راهکار محافظتی دیگری، سیستم امنیتی درونسازهای macOS (Gatekeeper) فایلهای متنی را کاملاً قابل اعتماد میپندارد. کاربران میتوانند با استفاده از ویرایشگر درونسازهای TextEdit بدون بررسیهای اضافی آنها را دانلود و باز کنند. با این حال، TextEdit یکجورهایی از نوتپد مایکروسافت ویندوز پیچیدهتر است. میتوانند کارهای بیشتری از جمله نمایش متن در حالت برجسته انجام دهد، به کاربران اجازه دهد رنگ فونت را تغییر دهند و ... از آنجایی که فرمت TXT برای ذخیره اطلاعات سبک طراحی نشده است، TextEdit اطلاعات فنی بیشتری را میگیرد تا بتواند این تسک را مدیریت نماید. برای مثال اگر فایلی با خط <!DOCTYPE HTML><html><head></head><body> شروع شود، TextEdit شروع میکند به مدیریت تگهای HTML؛ حتی در فایلی با افزونهی .txt. در اصل، نوشتن کد HTML در فایل متنی که با آن خط شروع میشود TextEdit را مجبور میکند به پردازش کد یا دست کم برخی المانهای آن.
احتمال حمله از طریق فایلهای متنی
ییبلو بعد از آنکه به دقت همه احتمالات موجود برای مهاجم بالقوه را که از این روش استفاده کرده بود بررسی کرد، متوجه این آسیبپذیری میتواند:
- حملات DoS را کلید بزند. Gatekeeper از باز شدن فایلهای لوکال از چیزی که پسوند یا افزونه متنی دارد جلوگیری نمیکند. بنابراین باز کردن فایل متنی آلوده میتواند باعث اوردلود شدن کامپیوتر شود؛ برای مثال با استفاده از کد HTML جهت دسترسی به فایل /dev/zero (منبع بیپایانی از کاراکترهای پوچ).
- باعث شود آدرس آیپی واقعی کاربر شناسایی شود. کد داخل فایل متنی میتواند AutoFS–برنامه استاندارد نصب فایل سیستمها- را فراخواند. همین میتواند اسباب دسترسی به درایو خارجی را فراهم کند. گرچه این کار به خودی خود بیضرر است -چون پروسه نصب خودکار سیستم کرنل را مجبور به ارسال درخواست TCP میکند؛ حتی اگر کاربر در پس سرور پروکسی باشد- اما سازنده فایل متن آلوده میتواند زمان دقیقی که باز شده را فهمیده و آدرس آیپی واقعی را ثبت کند.
- سرقت فایل را موجب شود. کل فایلها را میشود در داکیومت متنی حاوی <inframedoc> درج کرد. از این رو، فایل متنی آلوده میتواند به هر فایلی روی کامپیوتر قربانی دسترسی پیدا کرده و بعد محتواهای آن را با حملهای انتقال دهد. فقط کافیست کاربر فایل را باز کند.
این آسیبپذیری دسامبر 2019 به اپل گزارش شد و شماره آسیبپذیری CVE-2019-8761 را نیز به خود اختصاص داد.
راهکارهای امنیتی
آپدیت 2020 آسیبپذیری CVE-2019-8761 را پچ کرد اما این هیچ تضمینی نمیدهد که هیچ باگ مربوط به متنی در نرمافزار رخ ندهد. شاید هنوز آسیبپذیریهایی وجود دارد که کسی طرز اکسپلویت آنها را بلد نشده است. پس پاسخ درست به سوال «آیا فایلهای متنی امن هستند؟» این است: «بله در حال حاضر. اما گوش به زنگ باشید». از این رو توصیه ما آموزش دادن به همه کارمندان در خصوص این تهدید احتمالی است؛ حتی اگر به نظر یک فایل متن سادهی ساده بیاید. صرفنظر از همه اینها مدیریت کلیه جریانهای خروجی اطلاعاتی شرکت نیز توصیه میگردد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
