6 سال پس از استاکس نت

دی, 1396

در گزارش منتشر شده توسط مایکروسایت در ماه می سال 2016 میلادی مشخص شد در میان خانواده های بدافزارهایی که از کدهای مخرب اکسپلویت برای نفوذ استفاده می کنند یک آسیب پذیری مورد نفوذ قرار گرفته با قدمت 6 ساله وجود دارد.

به سال 2010 برگردیم زمانی که محققان امنیتی ردپای نوعی آلودگی در تجهیزات سخت افزاری را کشف کردند که مربوط به بدافزاری می شد که امروزه با نام استاکس نت شناخته می شود. این بدافزار در ماشین های ویندوزی قرارگرفته و خود را پنهان می کرد همچنین سامانه های اسکادایی که دارای نسخه نرم افزاری Siemens Simatic WinCC و  PCS 7  شناسایی و اقدام به نفوذ به آن ها می نمود. به طور خاص، بیشترین قربانی های این بدافزار سانتریفیوژهایی بودند که در مراکز هسته ای ایران برای غنی سازی اورانیم به کار گرفته می شدند.

ماشین های مورد نفوذ قرار گرفته دارای آسیب پذیری بودند که به نقطه ضعف موجود در نحوه مدیریت یک فایل میانبر(با پسوند .LNK یا .PIF) مرتبط می شد. شناسه این آسیب پذیری CVE-2010-2568 در دسته نقض های نوع خطای تایید اعتبار ورودی(CWE 20) قرار دارد که از آسیب پذیری CVE-2010-2772 در سامانه های اسکادای Siemens WinCC استفاده می نمود. برای بر طرف سازی این آسیب پذیری شرکت مایکروسافت وصله MS-10-046 را منتشر کرد.

اما این پایان داستان برای استاکس نت نبود. گزارش امنیتی منتشر شده توسط مایکروسافت در سال 2015، بیان شده است: محصولات امنیتی قادرند تلاش های بهره برداری از آسیب پذیری های شناخته شده بر روی سیستم را صرف نظر از قابل اعمال بودن آسیب پذیری روی آن هدف، شناسایی و مسدود کنند. برای مثال آسیب پذیری CVE-2010-2568 هرگز بر روی ویندوز8 اثر بخش نیست، اما در صوتیکه کاربر ویندوز 8 یک فایل مخرب دریافت نماید که اقدام به بهره برداری از این آسیب پذیری را داشته باشد، نرم افزار Windows Defender ویندوز8  به نحوی طراحی شده است که این اقدام مخرب را شناسایی و مسدود سازد.

با گذشت 6 سال از پیدایش این بدافزار، در سال 2015 آسیب پذیری CVE-2010-2568 همچنان یکی از پر استفاده ترین آسیب پذیری ها در کدهای اکسپلویت اجرا شده توسط مهاجمان سایبری است.

قرار گرفتن آسیب پذیری مربوط به استاکس نت جز 10 آسیب پذیری خطرناک در حالی است که کیت های اکسپلویت به افراد تازه کار نیز امکان ایجاد بدافزارهای شحصی براساس آسیب پذیری ها دلخواه را می دهند. در میان محبوب ترین کیت های اکسپلویت Angler در صدر است و پس از آن Sweet Orange قرار دارد. برای مثال کیت اکسپلویت Angler از سیستم های مورد نفوذ قرار گرفته در حین اجرا و نیز حفره های امنیتی روز صفرم در Microsoft Silverlight، Adobe Flash و Oracle java در مرورگر IE بهره می برد.

آنچه که در چنین گزارشاتی مبهم است علت مورد بهره برداری(اکسپلویت) قرار گرفتن آسیب پذیری هایی با قدمت 6 سال از زمان پیدایش است. بسیار محتمل به نظر می آید که تجهیزات IoT  هنوز موجود باشند که در حال اجرای نسخه های قدیمی ویندوز بوده (نسخه های قدیمی تر از ویندوز8) و این تجهیزات هنوز بروز نشده باشند و یا حتی امکان بروز رسانی آن ها وجود نداشته باشد.

برچسب ها
درباره نویسنده