روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مایکروسافت به عنوان بخشی از جدیدترین پچ سه‌شنبه‌ای‌اش، برای 142 آسیب‌پذیری پچ منتشر کرده که از بین آن‌ها 4 آسیب‌پذیری، روز صفر هستند. گرچه دوتای آن‌ها از پیش به طور عمومی شناخته‌شده بودند اما دوتای دیگر فعالانه توسط مهاجمین در حال اکسپلویت شدن هستند. جالب است بدانید که یکی از این آسیب‌پذیری‌های روز صفر که ظاهراًقرار بوده پسوردهای 18 ماه گذشته را سرقت کند در اینترنت اکسپلورر کشف شده. بله همان مرورگری که مایکروسافت توسعه‌اش را از سال 2015 متوفق کرد! و البته این شرکت قول داده بود برای همیشه‌ی همیشه و به طور کاملاً قطعی در فوریه سال 2023 آن را خاک کند! اما متأسفانه این بیمار لجوج‌تر از این حرف‌هاست و به این راحتی به مرگ تن نمی‌دهد.

چرا اینترنت اکسپلورر آنقدری که ما تمایل داریم، به مردن تمایل ندارد؟

سال گذشته در مورد آخرین تلاش‌ها برای کشتن Internet Explorer نوشتیم. قرار است کمی از آن را دوباره بازگو کنیم اما کل داستان را می‌توانید از این لینک پیگیری کنید. با آپدیتِ «خداحافظی»، مایکروسافت این مرورگر را از سیستم پاک نکرد بلکه صرفاً آن را غیرفعال نمود (و حتی آن زمان هم نه در همه نسخه‌های ویندوز!). در عمل این یعنی اینترنت اکسپلورر هنوز دارد در سیستم می‌پلکد؛ کاربران فقط نمی‌توانند آن را بعنوان مرورگری واحد و مستقل اجرا کنند. از این رو، هر آسیب‌پذیری جدیدی که در این مرورگر ظاهراً از کارافتاده پیدا شده هنوز می‌تواند برای کاربران ویندوزی تهدید محسوب شود- حتی آن‌هایی که سال‌هاست به آن دست هم نزده‌اند!

CVE-2024-38112: آسیب‌پذیری در MSHTML ویندوز

حال بیایید از آسیب‌پذیری CVE-2024-38112 که بتازگی کشف‌شده بگوییم: این یک نقص در موتور وبگردی MSHTML است که به اینترنت اکسپلورر نیرو می‌دهد. آسیب‌پذیری مذکور در مقیاس  CVSS 3 از 10 رتبه 7.3 را گرفته و در سطح وخامت «بالا» قرار دارد. برای اکسپلویت این آسیب‌پذیری، مهاجمین باید فایل مخربی را در فرم میانبر اینترنتی به ظاهر بی‌گناهی بسازند (فایل میانبر اینترنت ویندوز .url) که حاوی لینکی با پیشوند mhtml باشد. وقتی کاربر این فایل را باز می‌کند، اینترنت اکسپلورر که مکانیزم‌های امنیتی‌اش دیگر خوب نیستند به جای مرورگر پیش‌فرض لانچ می‌شود.

چطور مهاجمین CVE-2024-38112 را اکسپلویت کردند؟

برای درک بهتر نحوه عملکرد این آسیب‌پذیری، بیایید به حمله‌ای که در آن کشف شد نگاه کنیم. همه چیز با ارسال یک فایل url به کاربر با نماد استفاده شده برای فایل‌های PDF و پسوند دوگانه pdf.url آغاز می‌شود. بنابراین، برای کاربر، این فایل مانند یک میانبر برای یک PDF به نظر می‌رسد - چیزی به ظاهر بی‌ضرر. اگر کاربر روی فایل کلیک کند، آسیب پذیری CVE-2024-38112 مورد سوء استفاده قرار می‌گیرد. به دلیل پیشوند mhtml در فایل .url، به جای مرورگر پیش فرض سیستم، در اینترنت اکسپلورر باز می‌شود. مشکل این است که در دیالوگ باکس مربوطه، اینترنت اکسپلورر نام همان فایل .url را که وانمود می‌کرد میانبرد پی‌دی‌اف است نشان می‌دهد. پس منطقی است فرض بگیریم بعد از کلیک روی Open، پی‌دی‌اف نمایش داده شود. با این حال در واقعیت میانبر لینکی را باز می‌کند که فایل HTA در آن دانلود و اجرا می‌شود! این اپ HTML است؛ برنامه‌ای در یکی از زبان‌های اسکریپت که مایکروسافت آن را ساخته. برخلاف وب‌پیج‌های HTML، چنین اسکریپت‌هایی به عنوان اپ‌های تمام عیار اجرا می‌شوند و می‌توانند کلی کار انجام دهند- برای مثال ادیت فایل یا رجیستری ویندوز. به طور خلاصه آن‌ها بسیار خطرناک هستند. وقتی فایل لانچ شد، اینترنت اکسپلورر به کاربران ویندوزی نوتیفی نه چندان واضح و هشداردهنده نمایش می‌دهد که خیلی‌ها اصلاً آن را ندید می‌گیرند و براحتی ردش می‌کنند. وقتی کاربر روی Allow می‌زند، بدافزار سارق داده روی کامپیوترش لانچ شده و شروع می‌کند به جمع‌اوری پسوردها، کوکی‌ها، تاریخچه وبگردی، کلیدهای کیف‌پول رمزارز و سایر اطلاعات ارزشمند دیگر گه در این مرورگر ذخیره شدند و بعد آن‌ها را به سرور مهاجم ارسال می‌کند.

راهکارهای امنیتی

مایکروسافت از قبل این آسیب‌پذیری را پچ کرده. نصب آپدیت تضمین می‌دهد این ترفند mhtml در فایل‌های .url دیگر کار نخواهد کرد و چنین فایل‌هایی در مرورگر اج که امنیت بیشتری دارد باز خواهند شد. با این وجود، این رخداد باری دیگر یادمان آورد مرورگر مُرده‌ی اینترنت اکسپلورر هنوز هم قادر است کاربران ویندوزی را تسخیر کند و این در آینده پیش رو هم هنوز محتمل است! نظر به این حقیقت، توصیه می‌کنیم سریعاً همه آپدیت‌های مربوط به Internet Explorer و موتور MSHTML را نصب کنید و نیز از راهکارهای امنیتی مطمئن روی همه دستگاه‌های ویندوزی خود استفاده نمایید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.