بررسی آسیب پذیری مرورگر اینترنت اکسپلورر

چگونه مایکروسافت می‌تواند مشکلات موجود در IE را پنهان کند؟

مایکروسافت از اکتبر 2013 تا کنون علیرغم مطلع شدن از آسیب‌پذیری Zero-Day موجود در IE 8 آن را به صورت عمومی برای کاربران استفاده‌کننده از آن اعلام نکرده است.

یک ضعف امنیتی خطرناک در IE 8 با نام CVE-2014-1770 در اکتبر 2013 توسط شخصی به نام Peter ‘corelance0d3r’ Van Eeckhoutte شناسایی شد، که قرار بود توسط سایت ZDI به صورت رسمی اعلان شود.

سایت ZDI ، از متخصصین امنیتی‌ای که در زمینه‌ی کشف و شناسایی آسیب‌پذیری‌‌ها و نقاط ضعف امنیتی فعالیت دارند، تقدیر می‌کند. این سایت اولین بار توسط یکی از محققین خود این نقطه‌ضعف را شناسایی کرد و شرکت مایکروسافت چهار ماه بعد پس از اعلام این سایت مبنی بر شناسایی این آسیب امنیتی در فوریه 2014 وجود این نقطه‌ضعف را مورد تأیید قرارداد. علیرغم این تأیید دیرهنگام، تا کنون مایکروسافت نه بسته‌ی مکمل امنیتی و نه هیچ اطلاعاتی از این نقطه‌ی آسیب‌پذیری ارائه داده است. بر اساس رویه‌ی  موجود سایت ZDI، شرکت‌ها موظف خواهند بود تا ظرف 180 روز در مورد ضعف‌های امنیتی که این سایت شناسایی می‌کند، جزئیات کاملی را ارائه کنند. بر همین مبنا، چندین روز قبل، با نزدیک شدن به پایان مهلت 180 روزه در ماه آوریل، سایت ZDI به شرکت مایکروسافت در مورد اعلام نکردن جزئیات این ضعف امنیتی هشدار داد که با این وجود، به نظر می‌رسد هنوز سایت مایکروسافت هنوز پاسخی به این درخواست نداده است.

بر اساس بخش مشاوره امنیتی سایت ZDI ، این آسیب‌پذیری، یک نوع ضعف اجرای کد از را ه دور از نوع Zero Day است که از طریق  IE 8  به یک مهاجم از را ه دور اجازه خواهد داد تا از طریق مشکل موجود در شئ CMarkup به اجرای کدهای دلخواه خود بر روی سیستم قربانی بپردازد.

در سناریویی که حمله از طریق وب‌ انجام می‌شود، مهاجم از طریق سایت آلوده و با کلیک کردن روی الحاقات ایمیل می‌تواند در مسیر دستیابی به اهداف خود قرار بگیرد. برای اجرای یک حمله موفق مبتنی بر وب،  مهاجم با قرار دادن کدهای برنامه‌ریزی‌شده‌ی خودش بر روی سایت‌های آلوده، می‌تواند از این ضعف بهره‌برداری کند.

با این حال مهاجم نمی‌تواند کاربر را مجبور به استفاده از این محتویات کند و هیچ راهی جز، ترغیب کاربر برای استفاده از محتویات آلوده‌ی ‌اش ندارد و باید کاربر را متقاعد کند که از محتویات برنامه‌ریزی‌شده‌ای که توسط وی ایجاد‌شده، استفاده کند. ترغیب کاربر برای کلیک روی یک پیام الکترونیکی و یا پیامی که از طریق یک مسنجر ارسال می‌شود و یا باز کردن ملحقاتی که در یک پیام الکترونیکی وجود دارد و نهایتاً، کاربر را به صفحه‌ی شخصی مهاجم هدایت ‌می‌کند، از جمله‌ راه‌های متداولی که مهاجم برای دستیابی به اهدافش می‌تواند از آن‌ها استفاده کند.

مهاجم از طریق استفاده از این ضعف امنیتی می‌تواند، تمامی اختیاراتی که کاربر سیستم قربانی داشته است در دست بگیرد و بتواند، سیستم قربانی را در راستای اهداف خود مدیریت کند. در این بین کاربرانی که حساب کاربری آن‌ها دسترسی‌های محدودتری دارند، نسبت به کاربرانی که دسترسی آن‌ها در سطح Admin  در معرض خطرات کمتری خواهند بود.

در صورتی که شما از برنامه‌های نظیر، Microsoft Outlook، Microsoft Outlook Express و یا Windows Mail برای باز کردن پیام‌های الکترونیکی استفاده می‌کنید، این برنامه‌ها به صورت اتوماتیک کنترل‌های ActiveX و Script غیرفعال می‌کنند و همین موضوع کمک خواهد کرد، تا خطر اینکه مهاجم بتواند از این نقطه‌ضعف، برای اجرای کدهای مخرب خود از طریق این نقطه‌ضعف اقدام کند را کاهش دهد.

اما به محض این‌که کاربر لینک‌های آلوده‌ای که به پیام الکترونیکی الحاق شده‌اند را از طریق کلیک کردن فعال نمود، قربانی حملات مهاجم خواهد بود و اجازه خواهد داد، مهاجم از طریق استفاده از این آسیب‌پذیری بتواند حملات مبتنی بر وب را اجرا کند.

علاوه بر این Windows Server 2003 ، Windows Server 2008 ،Windows Server 2008 R2، Windows Server 2012 و Windows Server 2012 R2 در صورتی که کاربران پیکربندی امنیتی (Security‌Configuration)  که بر روی IE فعال‌شده‌اند را ارتقاء داده باشند، نباید نگران این حملات باشند، زیرا این پیکربندی مذکور این آسیب‌پذیری‌های را کاهش داده است.

برای کاهش خطرات ناشی از این حملات، پیشنهاد می‌شود که ضمن نصب EMET روی سیستم خود، بخش ActiveX Controls و Active Scripting  را نیز غیرفعال کنید. شما با نصب EMET ،کار برای مهاجمانی که قصد استفاده از آسیب‌پذیری‌های موجود در قسمتی از یک برنامه را دارند، مشکل خواهید کرد.

لازم به ذکر است که دقیقاً چند روز قبل، حملاتی مشابهی که با اجرای کدهای مخرب از راه دور با استفاده از نقاط آسیب‌پذیری IE صورت گرفته بود و تقریباً تمام نسخه‌های IE را تحت‌تأثیر قرارداد، توسط شرکت امنیتی FireEye گزارش شده است.