روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ جان جکسون، محقق امنیت سایبری تحقیقی را در مورد دو آسیبپذیری -CVE-2023-24069 و CVE-2023-24068- که در کلاینت دسکتاپ مسنجر سیگنال پیدا کرده است منتشر نموده. او مطمئن است مهاجمین میتوانند برای جاسوسی این دو آسیبپذیری را اکسپلویت کنند. با ما همراه باشید تا موضوع را بررسی کنیم. از آنجایی که اپهای دسکتاپی Signal برای همه سیستمعاملها یک پایه کد مشترک دارد هر دو آسیبپذیری نه تنها در کلاینت ویندوز که در کلاینتهای مکاواس و لینوکس نیز وجود دارند. همه نسخهها تا جدیدترین که 6.2.0 باشد آسیبپذیر هستند. در ادامه قصد داریم بررسی کنیم که این تهدید تا چه حد جدی است.
معرفی دو آسیبپذیری CVE-2023-24069 و CVE-2023-24068
اولین آسیبپذیری که CVE-2023-24069 باشد یک مکانیزم مخرب است که فایلهای ارسالی از طریق سیگنال را مدیریت میکند. وقتی فایلی پاک میشود از دایرکتوری ناپدید میشود مگر فردی به آن جواب دهد یا به چتی دیگر آن را فوروارد کند. افزون بر این، جدا از حقیقت که سیگنال مسنجری امن است و همه ارتباطات در آن رمزگذاری میشود، فایلها در فرمی محافظتنشده ذخیره میشوند.
آسیبپذیری دوم که CVE-2023-24068 باشد با تحقیق دقیقتر روی کلاینت پیدا شد. کاشف بعمل آمد که کلاینت مکانیزم تأییده فایل نداشته است. به لحاظ تئوریک، این به مهاجم اجازه میدهد تا آنها را جایگزین کند. بدینمعنا که اگر فایل فورواردشده روی کلاینت دسکتاپ باز شود فردی میتواند آن را در فولدر لوکال با یکی جعلی جایگزین کند. از این رو با انتقالهای بعدی، کاربر به جای فایلی که واقعاً قصد فورواردش را داشته شروع میکند به توزیع فایل سوئیجشده.
چطور ممکن است این آسیبپذیریها خطرناک باشند؟
ریسکهای احتمالی CVE-2023-24069 کم و بیش قابلفهمتر هستند. اگر کاربر نسخه دسکتاپی سیگنال کامپیوترش را قفل نشده رها کند، مهاجم میتواند به فایلهایی که از طریق سیگنال ارسال شدند دسترسی پیدا کند. همین اتفاق نیز اگر رمزگذاری تمام دیسک روی کامپیوتر فعال شده باشد و دارنده بخواهد آن را سهواً جایی (مانند هتل) رها کند نیز میتواند بیافتد. اکسپلویت کردن آسیبپذیری دوم اما رویکرد جامعتری را میطلبد. بگذارید فردی را مثال بزنیم که مکرراً از طریق اپ دسکتاپی سیگنال (برای مثال مدیری که تسکها را به زیرمجموعه خود ارسال میکند) فایل ارسال و دریافت میکند. اینجا مهاجم با دسترسی به این کامپیوتر میتواند یکی از فایلها را جایگزین کند یا برای هدف سرقت داکیومنت موجود را فرضاً با درج اسکریپت مخرب داخل آن دستکاریاش کند! در نتیجه، با انتقالهای بعدی همان فایل، دارنده آن در حقیقت مشغول توزیع بدافزار به کانتکتهای خود خواهد شد. تأکید داریم که اکسپلویت هر دو آسیبپذیری تنها زمانی ممکن است که مهاجم از قبل به کامپیوتر قربانی دسترسی داشته باشد. اما این سناریوی غیرواقعیای نیست- ما لزوماً در مورد دسترسی فیزیکی صحبت نمیکنیم. همین که بدافزاری که به مهاجم اجازه دستکاری فایل میدهد بتواند کامپیوتر را آلوده کند کافی است.
چطور ایمن بمانیم؟
بر اساس برنامه CVE، توسعهدهندگان سیگنال اهمیت این آسیبپذیریها را کتمان میکنند اما اجالتاً میبایست جانب احتیاط را رعایت کرده و از نسخه دسکتاپی این پیامرسان استفاده نکرد (منظورمان نسخههای دسکتاپی همه مسنجرها به طور کلی است). اما اگر پروسه کاریتان طوریست که باید یک سری تسکها را از طریق انجام دهید توصیه میکنیم:
- به کارمندان خود بیاموزید که کامپیوتر را قفلنشده رها نکنند.
- همیشه روی دستگاههای کاری خود رمزگذاری تمام دیسک داشته باشند.
- از راهکاهای امنیتی استفاده کنید که میتوانند بدافزارها را شناسایی کرده و جلوی هدفی که دارند را بگیرند (دسترسی به دادههای شما).
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
