close button
آیا می‌خواهید به نسخه سبک ایران‌وایر بروید؟
به نظر می‌رسد برای بارگذاری محتوای این صفحه مشکل دارید. برای رفع آن به نسخه سبک ایران‌وایر بروید.
بلاگ

در مقابل حمله نوع «روز صفر» به اینترنت اکسپلورر در ویندوز چه باید کرد؟

۹ بهمن ۱۳۹۸
امنیت دیجیتال با احمد باطبی
خواندن در ۴ دقیقه
مایکروسافت در باره حملات فعال سایبری از طریق ضعف امنیتی مرورگر اکسپلورر در ویندوز هشدار داده است.
مایکروسافت در باره حملات فعال سایبری از طریق ضعف امنیتی مرورگر اکسپلورر در ویندوز هشدار داده است.

بی‌اغراق، سود و زیان زندگی در دنیای مجازی، عین دنیای واقعی است؛ از آموزش، تجارت، رسانه و هزاران پدیده دیگر زندگی واقعی ما گرفته تا خیانت، جنایت، سرقت و جنگ، همه به دنیای اینترنت منتقل شده‌اند. همان‌طور که در دنیای واقعی باید از آسیب جنگ، قانون‌شکنی مجرمان و یا تجسس حکومت‌ها در حریم خصوصی در امان بود، باید در فضای مجازی هم از گزند حملات سازمان‌یافته و یا اعمال مجرمانه هکرها در امان ماند.

در این سلسله مقاله، ‌تلاش خواهیم کرد به شکل مرتب شما را از خطرهای روز فضای مجازی آگاه و راه حل‌های مرتبط را به زبان ساده ارایه کنیم. شما می‌توانید سوالات و درخواست خود را در باره پرداختن به موضوعات مرتبط با امنیت فضای مجازی، به ایمیل [email protected]  ارسال کنید. ما به شما پاسخ می‌دهیم و در صورت پیچیده بودن موضوع، آن را با مراجع مرتبط مطرح و شما را از نتیجه آن مطلع خواهیم کرد.

«مایکروسافت» در باره حملات فعال سایبری از طریق ضعف امنیتی مرورگر «اکسپلورر» در «ویندوز» هشدار داده است. هرچند که امروزه کمتر کسی از مرورگر پیش‌فرض ویندوز استفاده می‌کند. اما آسیب‌پذیری «CVE-2020-0674»، به هکرها فرصت می‌دهد تا تنها با قانع کردن قربانی به گشودن یک صفحه دست‌کاری شده اینترنتی، حمله‌ای هدفمند را اجرا و با روش اجرای کد از راه دور، کتاب‌خانه «JScript.dll» و حافظه مرورگر را به شکلی مختل کنند که کنترل صد در صد سیستم را، اعم از جابه‌جایی یا حذف اطلاعات و یا ایجاد کاربر تازه و تغییر دسترسی‌ها و سطح دسترسی صاحب سیستم، در اختیار خود گیرند.

بنا برگفته مایکروسافت، درجه خطر این آسیب‌پذیری برای اینترنت «اکسپلورر ۱۱» شدید و نسخه ۹ و ۱۰ آن متوسط است. شکل بهره‌برداری از این آسیب‌پذیری، با نحوه عملکرد بدافزار پیشرفته و دایم‌التهدید «هتل تاریک» (The Darkhotel APT) مقایسه شده است که با روش «فیشینگ هدف‌مند» (Spear Phishing)، قربانیان را مورد حمله قرار می‌دهد؛ ویروس مخربی که با یک دهه فعالیت توسعه دهندگانش، توانسته است به شبکه وای‌فای هتل‌ها نفوذ و هزاران دستگاه کامپیوتر را آلوده کند.

۹۰درصد قربانیان هتل تاریک، در ژاپن، تایوان، چین، روسیه و کره بوده‌اند. اما این بدافزار، قربانیان دیگری را نیز در آلمان، امریکا، اندونزی، هند و ایرلند گرفته است.

هتل تاریک در سال ۲۰۱۴ برای اولین بار توسط آزمایشگاه شرکت امنیتی «کاسپرسکی» کشف شد.

به این نوع حملات، حمله «روز صفر»(Zero Day) می‌گویند. حمله روز صفر به نوعی از حمله خراب‌کارانه به یک آسیب‌پذیری گفته می‌شود که تا به حال شناسایی نشده است و هیچ دانشی برای ترمیم آن وجود ندارد؛ آسیب‌پذیری که تنها مرجع حمله‌کننده از آن مطلع بوده و تا روزی که در مورد آن اطلاع‌رسانی و یا به صورت تصادفی کشف و ترمیم نشود، همواره برای هکرها قابل بهره‌برداری است.

اصطلاح روز صفر، کنایه به قربانی است که صفر روز فرصت دارد تا خود را از زیر تیغ حمله هکرها نجات دهد. از جمله حملات روز صفر در ایران را می‌توان به نفوذ و خراب‌کاری هکرها از طریق بدافزار «ساکس‌نت» (Sutxnet) اشاره کرد.

البته مایکروسافت اعلام کرده است بسته ترمیمی این آسیب را با به روز رسانی‌های دوشنبه و سه‌شنبه ماه فوریه در اختیار کاربران قرار خواهد داد. البته مایکروسافت تا رسیدن بسته ترمیمی ویندوز، دستورالعملی را برای تغییر دستی تنظیمات JScript.dll ارایه کرده است تا بهره‌برداری از این آسیب‌پذیری غیرممکن شود.

کاربران ویندوز ۳۲ بیتی می‌توانند با درج کلمه «Run» در بخش جست‌وجوی ویندوز و گشودن پنجره این برنامه، با سطح دسترسی «Administrator»، فرمان زیر را تایپ و یا با کپی و پیست کردن، آن را به پنجره دستورها منتقل کنند و کلیک «Enter» را به منظور اجرای آن فشار دهند:

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

کاربران ویندوز ۶۴ بیتی نیز با همین روش، باید فرمان‌های زیر را وارد کنند:

    takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

 

برای غیرفعال کردن این دستورها نیز دوباره با همین روش، برای ویندوز ۳۲ بیتی دستورهای زیر وارد شوند:

    cacls %windir%\system32\jscript.dll /E /R everyone   

 

برای ویندوز ۶۴ بیتی هم باید دستورهای زیر را وارد و اجرا کرد:

    cacls %windir%\system32\jscript.dll /E /R everyone   

    cacls %windir%\syswow64\jscript.dll /E /R everyone

 

باید توجه داشت که این راه‌حل موقت ممکن است اشکال‌هایی را در عملکرد عادی ویندوز ایجاد کند که از آن جمله می‌توان به اخلال در عملکرد اسکریپت‌های تنظیمات خودکار «پروکسی» (PAC scripts)‌ اشاره کرد. هم‌چنین کاربران موظف هستند در صورت استفاده از این راه حل موقت، با به روز رسانی ویندوز خود، تنظیمات اعمال شده را با دستورات بالا، به حالت اولیه باز گردانند.

البته شرکت « 0patch» نیز میکروپچی را به عنوان راه حل این مشکل ارایه کرده است که در واقع، نسخه شبیه‌سازی شده راه‌حل ویندوز محسوب می‌شود و برای محدودسازی jscript.dll به کار گرفته می‌شود.

هرچند ظاهرا این میکروپچ، مشکل راه حل مایکروسافت را نخواهد داشت اما ایراد آن این است که برنامه‌های مبنتی بر «legacy Jscript» غیرفعال می‌شوند و تنها با استفاده از اینترنت اکسپلورر قابل استفاده خواهند بود.

از جمله دیگر مشکلات گزارش شده از این میکروپچ نیز می‌توان به اخلال درعملکرد ویندوز «مدیا پلیر» در اجرای فایل‌های «MP4»، اخلال در عمل کرد برنامه «Resource Checker» یا تایید کننده هویت فایل‌های مایکروسافت و هم‌چنین اخلال در «Microsoft Print to PDF» اشاره کرد.

سوال‌های خود را در زمینه امنیت سایبری برای ما به آدرس [email protected] بفرستید.

ثبت نظر

ویدیو

سرقت حق پخش فوتبال؛ به دستور مستقیم رئیس شبکه سه صداوسیما

۹ بهمن ۱۳۹۸
سرقت حق پخش فوتبال؛ به دستور مستقیم رئیس شبکه سه صداوسیما