20120919041109_Symantec SOC-13محققان در محصولات برخی از بزرگترین شرکت های امنیتی جهان، نواقص و مشکلاتی یافته اند که می تواند به طور بالقوه، صدها هزار کاربر را در معرض خطر حمله قرار دهد.

بنا به گفته محققان شرکت حفاظت داده ای enSilo، تمام این نواقص و مشکلات یافت شده، پیرامون پیاده سازی و اجراهای نادرست Code hooking  (گیرانداختن کد) می چرخد. Code hooking روشی است که امکان نظارت و/یا تغییر رفتار توابع سیستم عامل را فراهم می سازد.

از این روش به طور گسترده در صنعت آنتی ویروس استفاده می شود، به این منظور که محصولات بتوانند بر فعالیت های مشکوک نظارت داشته باشند، اما در virtualization یا مجازی سازی، عملکرد نظارت (performance monitoring) و موارد دیگر نیز به کار می رود.

مسائل Code hooking ی که توسط enSilo کشف شده، ۱۵ محصول متفاوت را پوشش می دهد. شرکت هایی که در این بین تحت تاثیر قرار گرفته و آسیب دیده اند، از این قرارند: AVG, Kaspersky, McAfee, Symantec, Trend Micro, BitDefender, Citrix XenDesktop, Webroot, AVAST, Emsisoft,  و Vera.  این تحقیق از زمانی آغاز شد که شرکت enSilo، در یکی از محصولات AVG، یک نقص Code hooking یافت. شرکت AVG آوریل همین امسال، برای این مشکل و نقص یک وصله یا patch صادر کرد.

مسئله نگران کننده تر این است که، این شرکت بیان کرده این نقص در سه موتور متفاوت hooking نیز یافت شده است، از جمله در Microsoft Detours، که محبوب ترین عامل تجاری hooking را در بازار لحاظ کرده است. بنا به گفته enSilo، این رویداد بدین معنی است که، هزاران محصول و صدها هزار کاربر، به طور بالقوه تحت تاثیر این نقص و مشکل قرار می گیرند.

Microsoft بیان کرده که تصمیم دارد در آگوست سال جاری، این مسئله را patch کند. بنیانگذار enSilo و CTO Udi Yavo، و همینطور Tommer Bitton، بنیانگذار و معاون پژوهشی رئیس جمهور امریکا، بیان کرده اند که این مسئله، کار ساده ای نیست. “در بیشتر موارد، تعمیر و اصلاح این مسئله، نیازمند گردآوری مجدد هر محصول به صورت منفرد است، چیزی که patch کردن را نیز فوق العاده دشوار می سازد.”

Yavo  و  Bitton در قالب پستی در وبلاگ خود اینگونه نوشته اند که هکرها و مهاجمان می توانند با سوء استفاده از این نقص، به هر پروسه در حال اجرایی روی سیستم، یک کد تزریق کنند.

به گفته آنها، “بیشتر این آسیب پذیری ها به مهاجمان اجازه می دهد تا به سادگی سیستم عامل و سبک سازی های استفاده از شخص ثالث (Third-Party Exploit Mitigations) را از میان بردارند”. “به این معنی که، مهاجمان و هکرها می توانند خیلی ساده این آسیب پذیری ها را اهرم و وسیله نفوذ قرار دهند، که اگر این آسیب پذیری ها نمی بود، چه بسا این کار جنگ افزاری خیلی دشوار و یا حتی غیرممکن می بود. بدترین آسیب پذیری ها می توانند به مهاجمان این امکان را دهند که از دید ماشین قربانی، غیرقابل تشخیص و شناسایی باقی بمانند، یا اینکه آنها را قادر می سازد که به هر پروسه موجود در سیستم، کدی را تزریق کنند.”

در ادامه پست خود در وبلاگ افزوده اند، “شرکت هایی که از نرم افزار های آسیب دیده و متاثر استفاده می کنند، باید از فروشندگان patches  دریافت کنند، و چنانچه این پچ ها هنوز در دسترس نباشد، باید آن را سفارش داده و تقاضا کنند. مشتریانی که از این نرم افزارهای آسیب دیده و متاثر استفاده می کنند نیز باید با فروشندگان تماس گرفته و تقاضا کنند که نرم افزارشان patch  شود.”

این دو تصمیم دارند که یافته های خود را برای کنفرانس امنیتی Black Hat، که به زودی در لاس وگاس برگزار می شود، ارائه کنند.

Eric Klonowski، آنالیزور ارشد بخش پیشرفته تحقیقات مربوط به تهدیدها در شرکت Webroot، در بیانیه ای اعلام کرده که، شرکت Webroot این آسیب پذیری ها را به طور کامل patch کرده است.

“هفته آخر دسامبر گذشته بود که شرکت enSilo  با ما تماس گرفت و راجع به این آسیب پذیری ها صحبت کرد، تیم ما نیز توانست یک هفته بعد این مشکلات را اصلاح کند. از آنجایی اولین و بالاترین اولویت ما امنیت است، لذا تمام مشتریان Webroot، یک نسخه از این آپدیت و به روزرسانی را بلافاصله بعد از انتشار، از طریق cloud دریافت کردند.”

Kaspersky نیز تایید کرده که این نقص را patch کرده است. سخنگوی این شرکت به مجله InfoSecurity اینگونه گفته: “آسیب پذیری که توسط شرکت enSilo  کشف شد، در یک نرم افزار به روز شده در تاریخ سپتامبر ۲۰۱۵، مورد توجه قرار گرفت، و متخصصان ما هیچ مدرکی مبنی بر اینکه این آسیب پذیری مورد سوء استفاده قرار گرفته باشد، یافت نکردند. ما بابت گزارش این آسیب پذیری از شرکت enSilo سپاسگزاریم، چرا که این کار را به شیوه ای مسئولانه انجام دادند.”

Symantec  و  Avast هر دو به مجله InfoSecurity اعلام کرده اند که این مسئله را اصلاح کرده اند. BitDefender نیز بیان کرده که محصولات خود را علیه این آسیب پذیری patch کرده است.

Trend Micro بیان کرده، محققان شرکت ما در حال کار و تلاش هستند تا به این مشکل رسیدگی کنند. این شرکت در بیانیه ای اعلام کرده، “بعد از بررسی های فنی Trend Micro، مشخص شد که تنها یکی از محصولات مشتری پسند ما به طور بالقوه تحت تاثیر قرار گرفته است. هیچ یک از محصولات کلاس شرکت های تجاری یا سازمانی، که در این زمان آسیب دیده باشند، یافت نشده است”

Trend Micro  اضافه کرده، پیش از کنفراس Black Hat این مسئله باید patch شود، و اینکه، “هیچ مدرکی وجود ندارد که نشان دهد، اثبات مفاهیمی که استفاده می شود و به ما گزارش شده، به صورت عمومی و علنی استفاده شده باشد.”

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *