یک ابزار خط-فرمان هستهی ویندوز به نام Regsvr۳۲ که برای ثبت DDL ها در ویندوز به کار میرود، اخیراً برای اجرای کد از راه دور از طریق اینترنت و دور زدن حفاظتهای لیست-سفید از جمله AppLocker مایکروسافت مورد سوء استفاده قرار گرفته است.
محققی که تمایل ندارد نامش فاش شود این مشکل را پیدا کرده و به طور خصوصی به مایکروسافت اطلاع داده است. مشخص نیست که آیا مایکروسافت میخواهد این آسیبپذیری را با یک اطلاعیه وصله کند یا بهروزرسانی آن را به نسخهی بعدی موکول میکند.
Regsvr۳۲ که سرور ثبت مایکروسافت نیز نام دارد، یک پروندهی دودویی مایکروسافت است که به صورت پیش فرض روی ویندوز قرار داشته و اجرا میشود.
اصطلاح اثبات مفهومی محققان، به این پرونده اجازهی بارگیری و اجرای جاوا اسکریپت یا VB اسکریپتی را میدهد که URL آن در خط-فرمان نوشته شده است.
این محقق گفته است حمله کننده با سوءاستفاده از این موقعیت از جعبهای که در آن اجرا میشود، شروع به جاسوسی میکند.
این محقق به Threat post گفت: «بسیاری از لیستهای سفید برای حفاظت از سامانه، جاوا اسکریپت یا VB اسکریپت را مسدود میکنند و هیچ مانع و محدودیتی در این زمینه وجود ندارد. بدیهی ست که کد روی یک سامانه راه دور میزبانی میشود و از آنجایی که Regsvr۳۲ یک پروکسی و آگاه از SSL است، به هیچ پیکربندی دیگری نیاز نیست و میتوان کد را از هر مقصد راه دوری اجرا کرد».
این محقق اظهار کرد هنگام تلاش برای دور زدن AppLocker، به این مشکل پی برده است. او گفت: «در واقع هیچ وصلهای برای این مشکل وجود ندارد زیرا این مسئله یک آسیبپذیری و سوء استفاده نیست و فقط یک استفاده غیرمعمول از یک ابزار است. به عبارت دیگر نوعی روش دور زدن و گریز است».
پیچیدگی این موضوع به این دلیل است که Regsvr۳۲ به طور عادی از سطح دسترسی مدیر درخواست اجرا میکند تا بتواند شیء COM (مدل شیءگرای اجزا) و DLL ها را بر روی سامانهعامل ثبت کند.
او گفت: «معمولاً مدیران میتوانند این را اجرا کنند. اما در این مورد، من هم میتوانم آن را به عنوان یک کاربر عادی اجرا کنم. میتوانم از روشهای ثبت نشده استفاده کنم و به عنوان کاربر معمولی آنها را اجرا کنم.»
اسناد موجود مربوط به Regsvr۳۲، پذیرش و اجرای اسکریپتها از اینترنت را نشان نمیدهد. اخیراً حملات بدافزار بدون-پرونده از PowerShell ویندوز برای بارگیری بدافزار از اینترنت استفاده میکنند. ظاهراً این مشکل میتواند در شرایط مشابهی مورد سوءاستفاده قرار گیرد».
این محقق اظهار داشت که شناسایی این دسته از حملات بسیار سخت خواهد بود. همچنین در ادامه گفت: «آثار زیادی روی جعبه باقی نمیماند تا نشان دهد کد مخربی در حال اجراست. همچنین ابزاری همچون SysMon برای ثبت دستورات خط-فرمان میتواند نشان دهد که شخصی در حال اجرای Regsvr۳۲ با یک URL است. چون پرونده از یک URL بارگیری شده است، هیچ مدرک دیگری برای این که نشان دهد فعالیت مخربی در حال اجراست وجود ندارد.»
ثبت نظر