شرکت سوفوس (Sophos, Ltd.)، به‌تازگی جزئیات یک سوءاستفاده جدید را منتشر کرده است که در آن مهاجمان قصد بی‌اثر کردن وصله آسیب‌پذیری به شناسه CVE-۲۰۲۱-۴۰۴۴۴ از طریق فایل‌های Microsoft Office را دارند.

به گزارش مرکز مدیریت راهبردی افتا، مهاجمان می‌توانند از آسیب‌پذیری موجود در MSHTML به شناسه CVE-۲۰۲۱-۴۰۴۴۴، برای “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) در نسخه‌های مختلف سیستم‌عامل Windows  بهره‌جویی کنند.
آن‌ها از این ضعف این امنیتی برای اجرای کد یا فرامین بر روی ماشین هدف بدون دخالت کاربر سوءاستفاده می‌کنند. مهاجمان در این روش معمولاً یک سند Office را برای کاربر ارسال  و کاربر را متقاعد می‌کنند که سند مخرب را باز کند، سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML سوءاستفاده می‌کنند. البته مایکروسافت (Microsoft Corp.) این آسیب‌پذیری را در اصلاحیه‌های امنیتی ماه سپتامبر ۲۰۲۱ برطرف کرده است.
نتایج یافته‌های محققان سوفوس حاکی از آن است که بلافاصله پس از انتشار وصله‌های مایکروسافت برای ترمیم این ضعف امنیتی، مهاجمان در تلاش برای دورزدن آن‌ها هستند.
در تاریخ‌های ۲ و ۳ آبان ۱۴۰۰، محققان سوفوس چندین نمونه ایمیل هرزنامه حاوی فایل‌های پیوست را دریافت کردند. بررسی فایل‌های پیوست حاکی از سوءاستفاده مهاجمان از باگ CVE-۲۰۲۱-۴۰۴۴۴ است؛ این امر نشان می‌دهد که حتی وصله کردن یک ضعف امنیتی نمی‌تواند مانع از اقدامات مخرب یک مهاجم ماهر شود.
در حملاتی که پیش از عرضه اصلاحیه سپتامبر ۲۰۲۱ مایکروسافت صورت‌گرفته بود، برای بهره‌جویی از ضعف امنیتی CVE-۲۰۲۱-۴۰۴۴۴، کد بدافزاری در یک فایل Microsoft Cabinet (.CAB) در داخل یک سند مخرب Office بسته‌بندی‌شده بود. پس از ترمیم این آسیب‌پذیری و ارائه وصله آن در ماه سپتامبر توسط مایکروسافت، مهاجمان با بررسی یک نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) مربوط به این ضعف امنیتی، متوجه شدند که می‌توانند با قرار دادن کد بدافزاری در یک فایل فشرده RAR دست‌کاری شده، از زنجیره حمله به‌صورت متفاوتی استفاده و دوباره از این ضعف امنیتی  به گونه دیگری سوءاستفاده کنند.

از فایل فشرده RAR قبلاً نیز برای توزیع کدهای مخرب استفاده می‌شده، اما بنا بر اظهارات محققان سوفوس، فرایند مورداستفاده در اینجا به‌طور غیرعادی پیچیده بود.
به‌احتمال‌زیاد تنها دلیل موفق شدن مهاجمان در حمله اخیر این بوده که عملکرد و محدوده وصله این ضعف امنیتی بسیار محدود بوده است. از طرفی برنامه WinRAR که کاربران برای باز کردن فایل‌های فشرده از آن استفاده می‌کنند، در برابر خطا بسیار انعطاف‌پذیر است و چون فایل RAR بکار گرفته‌شده توسط مهاجمان دست‌کاری شده، برای نرم‌افزار WinRAR باگ به نظر نرسیده است.
در واقع ازآنجایی‌که مهاجمان از روش حمله قبلی که در آن فایل مخرب، از طریق Microsoft Cabinet (.CAB) بسته‌بندی می‌شد، استفاده نمی‌کنند و وصله ارائه‌شده را بی‌اثر می‌کنند، محققان سوفوس روش این حمله اخیر را CAB-less ۴۰۴۴۴ نام‌گذاری کرده‌اند. شواهد حاکی از آن است که اخیراً مهاجمان از یک نمونه اثبات‌گر مربوط به این ضعف امنیتی که به‌صورت عمومی منتشر شده بود، برای انتقال بدافزار Formbook در اسناد Office سوءاستفاده کرده‌اند.
همان‌طور که در تصویر زیر نمایش‌داده‌شده است، قربانیان در این حملات، ایمیلی با پیوست Profile.rar دریافت می‌کنند.

این فایل فشرده RAR حاوی یک سند Word است. این فایل RAR دست‌کاری شده و یک اسکریپت PowerShell نیز در ابتدای آن قرار داده شده است. مهاجمان، گیرندگان ایمیل را متقاعد کردند تا فایل RAR را از حالت فشرده خارج کرده و به سند Word دسترسی پیدا کنند. به‌محض بازشدن فایل Word در Office، یک صفحه وب که حاوی یک JavaScript مخرب است، فراخوانی می‌شود.

این JavaScript ، سند Word را مجبور به راه‌اندازی کد اسکریپت مخرب جاسازی‌شده در فایل فشرده Profile.rar می‌کند. سپس اسکریپت تعبیه‌شده در این فایل فشرده، PowerShell را فراخوانی  و کد مخرب قابل‌اجرا را فعال کرده و در نهایت دستگاه قربانی به بدافزار Formbook آلوده‌شده است. مهاجمان ایمیل‌های هرزنامه (Spam email) را به مدت تقریباً ۳۶ ساعت توزیع کرده و سپس فعالیت خود را متوقف کردند.
به نقل از محققان سوفوس، طول عمر محدود این حمله جدید می‌تواند به این معنی باشد که این تنها آزمایشی از سوی مهاجمان است و احتمالاً در حملات بعدی این روش جدید سوءاستفاده به طور گسترده استفاده خواهند کرد.
مراحل اجرای حملات اخیر در تصویر زیر نمایش‌داده‌شده است:

محققان سوفوس اعلام کردند که این تحقیق یادآوری می‌کند که اعمال وصله‌ها به‌تنهایی نمی‌تواند در همه موارد در برابر تمامی آسیب‌پذیری‌ها و حملات محافظت ایجاد کند. بلکه تنظیم محدودیت‌هایی جهت جلوگیری از راه‌اندازی تصادفی یک سند مخرب توسط کاربر، می‌تواند به محافظت در برابر چنین سوءاستفاده‌هایی کمک کند، اما همچنان کاربران ممکن است فریب‌خورده و سیستم‌های آن‌ها با کلیک روی دکمه Enable Content آلوده شوند؛ بنابراین آموزش کارمندان و تأکید بر عدم دانلود اسناد مشکوک ضمیمه‌شده در ایمیل بسیار ضروری است، به‌خصوص زمانی که ایمیلی حاوی پیوست‌هایی با فرمت‌های فشرده غیرمعمول یا ناآشنا از افراد یا سازمان‌های ناشناس دریافت می‌شود. در چنین زمانی توصیه می‌شود که کاربران همیشه با فرستنده یا شخصی که به‌ظاهر ایمیل از طرف او ارسال‌شده تماس گرفته یا از طریق مشورت با راهبر امنیتی سازمان خود صحت ایمیل ارسالی را بررسی کنند.
مشروح گزارش سوفوس در خصوص جزئیات سوءاستفاده اخیر از MSHTML در نشانی زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/۲۰۲۱/۱۲/۲۱/attackers-test-cab-less-۴۰۴۴۴-exploit-in-a-dry-run

منبع:

https://www.sophos.com/es-es/press-office/press-releases/۲۰۲۱/۱۲/attackers-bypass-critical-microsoft-office-patch-by-adapting-a-novel-exploit.aspx

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/1956/Staging/%D8%AA%D9%83%D9%86%DB%8C%D9%83-%D8%AC%D8%AF%DB%8C%D8%AF-%D9%85%D9%87%D8%A7%D8%AC%D9%85%D8%A7%D9%86-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%AF%D9%88%D8%B1%D8%B2%D8%AF%D9%86-%D9%88%D8%B5%D9%84%D9%87-CVE-%DB%B2%DB%B0%DB%B2%DB%B1-%DB%B4%DB%B0%DB%B4%DB%B4%DB%B4

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)