روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین آسیب‌پذیری جدی دیگری را در محصولات مایکروسافت کشف کرده‌اند که بالقوه به مهاجمین اجازه می‌دهد کد دلخواه[1] را اجرا کنند. MITRE به این آسیب‌پذیری عنوان CVE-2022-30190 را داده است و این درحالیست که محققین آن را علناً «فولینا[2]» نامیده‌اند. با ما همراه شوید تا بیشتر به ساز و کار و فولینا بپردازیم.

بخش تلخ ماجرا این است که هنوز راه‌حلی برای رفع این باگ در دسترس نیست و تلخ‌تر از آن اینکه این آسیب‌پذیری به طورفعالانه‌ای دارد توسط مجرمان سایبری اکسپلویت می‌شود. گرچه مدام وضعیت آن در حال به‌روزرسانی است اما توصیه ما به همه کاربران ویندوزی و ادمین‌ها این است که از راهکارهای موقتی استفاده کنند.

CVE-2022-30190 چیست و چه محصولاتی تحت‌الشعاع قرار گرفته‌اند؟

آسیب‌پذیری CVE-2022-30190 در MSDT پیدا شده یعنی همان ابزار تشخیصی پشتیبانی ویندوز مایکروسافت[3] که به نظر شاید خیلی هم مهم نیاید اما متأسفانه این ابزار به محض پیاده‌سازی می‌تواند باعث شود آسیب‌پذیری از طریق داکیومنت آلوده آفیس اکسپلویت شود. MSDT در واقع اپی است که برای جمع‌آوری خودکار اطلاعات تشخیصی و ارسال آن به مایکروسافت وقتی یک جای ویندوز ایراد پیدا می‌کند استفاده می‌شود. این ابزار توسط اپ‌های دیگر هم بوسیله پروتکل ویژه MSDT URL فراخوانده می‌شود (برنامه ورد مایکروسافت محبوب‌ترین نمونه است). اگر این آسیب‌پذیری با موفقیت اکسپلویت شود مهاجم قادر خواهد بود کد دلخواه را با مزیت‌های اپ که به MSDT مربوط می‌شوند اجرا کند- یعنی در این صورت حقوق کاربری که فایل آلوده را باز کرده به دست مهاجم می‌افتد. آسیب‌پذیری CVE-2022-30190 را می‌شود در همه سیستم‌عامل‌های خانواده ویندوز اکسپویت کرد (هم دسکتاپ هم سرور).

چطور مهاجمین CVE-2022-30190 را اکسپلویت می‌کنند؟

محققین به منظور نمایش حمله سناریوی زیر را شرح می‌دهند: مهاجمین یک داکیومنت مخرب آفیس درست می‌کنند و آن را به دست قربانی می‌رسانند. شایع‌ترین روش انجام این کار ارسال ایمیلی است با پیوست آلوده که کمی چاشنی توطئه‌ی مهندسی اجتماعی نیز برای متقاعد کردن گیرنده ایمیل برای باز کردن فایل بدان اضافه شده است. چیزی مانند «سریعاً قرارداد را بررسی کنید و برای فردا صبح امضا نمایید». ترفندی رایج برای شتابزده عمل کردن کاربر. فایل آلوده حاوی لینکی است به فایل html که در خود کد جاوااسکریپتی دارد که کد مخرب را از طریق MSDT در کد فرمان اجرا می‌کند. در نتیجه‌ی یک اکسپلویت موفق مهاجمین می‌توانند برنامه‌ها را نصب کرده، داده‌ها را دیده، دستکاری کرده و یا از بین ببرند؛ همینطور اکانت‌های تازه بسازند که این یعنی ممکن است همه مزیت‌های قربانی در سیستم در اختیار مهاجم قرار خواهد گرفت.

راهکارهای امنیتی

همانطور که در ابتدا عرض کردیم، هنوز پچی برای این آسیب‌پذیری وجود ندارد. برای رعایت جانب امنیت، مایکروسافت توصیه می‌کند پروتکل MSDT URL را غیرفعال کنید. برای انجام این کار باید فرمانی را با حقوق ادمین اجرا کرد و سپس دستور HKEY_CLASSES_ROOT\ms-msdt /f را اجرا کنید. قبل از انجام این کار شاید بد نباشد با اجرای اکسپورت رگ HKEY_CLASSES_ROOT\ms-msdt filename از رجیستری بک‌آپ بگیرید. بدین‌ترتیب می‌توانید سریعاً با فرمان فایل‌نیم ورودی رگ، رجیستری را بازیابی کنید. البته این راهکار موقتی است و باید آپدیتی را نصب کرد که بتواند آسیب‌پذیری Follina را کامل ببندد. به محض انتشار آپدیت آن را با شما دوستان به اشتراک خواهیم گذاشت. متودهای اکسپویت فوق‌الذکر شامل استفاده از ایمیل‌ها با پیوست آلوده و روش‌های مهندسی اجتماعی می‌شود. از این رو توصیه می‌کنیم بیش از هر زمان دیگری حواستان به ایمیل‌هایی که فرستنده‌شان ناشناس است باشد؛ خصوصاً آن‌هایی که پیوستشان داکیومنت‌های مایکروسافت آفیس است. توصیه‌مان به شرکت‌ها این است که به کارمندان خود در خصوص ترفندهای هکرها در این خصوص آگاهی و آموزش داده شود. افزون بر این توصیه می‌کنیم هم شرکت‌ها هم کاربران از نصب راهکارهای امنیتی قوی و قابل‌اعتماد غافل نشوند. حتی وقتی کسی دارد آسیب‌پذیری ناشناخته‌ای را اکسپلویت می‌کند چنین راهکارهایی می‌توانند جلوی اجرا شدن کد مخرب را روی دستگاه کاربر بگیرند.

[1] arbitrary code

[2] Follina

[3] Microsoft Windows Support Diagnostic Tool

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.