به گزارش شرکت سوفوس، مجرمان سایبری راهی برای دور زدن وصلهای که اخیرا شرکت مایکروسافت برای آسیبپذیری مایکروسافت آفیس ارائه داده بود پیدا کردهاند و از آن برای انتشار بدافزار Formbook استفاده کردهاند.
این نقص امنیتی که بهعنوان CVE-2021-40444 (امتیاز CVSS 8.8) شناخته میشود، بر فایلهایی با فرمت MSHTML تأثیر میگذارد. از این نقض امنیتی میتوان برای اجرای کد از راه دور در سیستمهای آسیبپذیر استفاده کرد. هکرها و مهاجمانی که به دنبال سوءاستفاده از این باگ هستند، باید قربانی خود را فریب دهند تا یک فایل مخرب را باز کند.
این آسیبپذیری امنیتی، در هفتم سپتامبر و پس از شناسایی حملاتی که از آن سوءاستفاده میکردند به طور عمومی فاش شد. سپس این آسیب پذیری با ارائه و به روزرسانی یک وصله امنیتی توسط شرکت مایکروسافت برطرف شد. همچنین کدی که باگ را مورد هدف قرار میداد نیز منتشر شد و به همین دلیل فعالیتهای سوءاستفاده از آن نیز تشدید شد.
وصلهای که مایکروسافت ارائه کرده است برای جلوگیری از اجرای کد برای دانلود آرشیو Microsoft Cabinet (CAB) بود که حاوی فایل اجرایی مخرب بود. با این حال، به نظر میرسد که مهاجمان راهی برای دور زدن وصله با گنجاندن یک فایل Word در یک فایل فشرده RAR پیدا کردهاند.
شرکت سوفوس میگوید که مهاجمان در روزهای 24 و 25 اکتبر، فایلهای فشرده را به عنوان بخشی از یک کمپین ایمیل هرزنامه توزیع کردهاند. این ایمیلها تقریباً پس از 36 ساعت کاملاً ناپدید شدند، که نشان میدهد حمله فقط یک آزمایش “Dry Run” بوده است.
از یک اسکریپت PowerShell نیز برای قراردادن یک فایل مخرب Word در داخل آرشیوها استفاده شده است. به محض اینکه قربانی این فایل فشرده را برای دسترسی به سند Word باز کند، اسکریپت اجرا شده و منجر به آلوده شدن سیستم او با بدافزار Formbook میشود.
سوفوس میگوید: پیوستهای ایمیلها نشان میدهند که حملات سایبری با سوءاستفاده از باگ -40444 در حال افزایش است و همچنین این حمله به ما میگوید که حتی یک وصله امنیتی نیز نمیتواند همیشه اقدامات یک مهاجم و هکر ماهر را کاهش دهد.
به گفته این شرکت امنیت سایبری، حمله به این دلیل موفقیت آمیز بوده است که وصله ارائه شده تنها برروی یک آسیب پذیری مشخص متمرکز بوده است. دلیل دیگر موفقیت آمیز بودن این حمله شیوه برخورد WinRAR با فایلهای حاوی بایتهای صحیح، بدون در نظرگرفتن اینکه این بایت ها در کجای فایل قرار دارند است.
