فرصت چند ماهه مایکروسافت به نفوذگران و بهره¬برداری گسترده از حفره امنیتی نرم افزار ورد

فاصله زمانی شش‌ماهه بین شناسایی و رفع یک حفره امنیتی در نرم‌افزار مایکروسافت ورد، فرصت بهره‌برداری گسترده را به نفوذگران داده است.

فرآیند عرضه به‌روزرسانی‌های نرم‌افزاری برای برطرف کردن حفره‌های امنیتی، در برخی موارد با گذشت چند ماه آغاز می‌شود. این در حالی است که در فاصله زمانی شناسایی تا رفع ایرادهای امنیتی، نفوذگران دست به کار شده‌اند و تا حد امکان برای رسیدن به مقاصد خود از این فرصت بهره‌برداری می‌کنند.

برای فهم هرچه بهتر مشکلات و موانع موجود در مسیر ارائه بسته‌های امنیتی توسط شرکت‌ها، بد نیست نگاهی به یک مورد نقص امنیتی در نرم‌افزار ورد شرکت مایکروسافت و به دنبال آن، عرضه بسته امنیتی توسط این شرکت داشته باشیم. این مشکل امنیتی، به‌طور رسمی با کد  CVE-2017-0199 شناخته می‌شود؛ مشکلی که با عرضه بسته امنیتی ماهیانه ۱۱ آوریل مایکروسافت برطرف شد. نکته قابل توجه آن است که از کشف تا رفع این مشکل امنیتی، ۹ ماه زمان نیاز بود که به اعتقاد اکثر متخصصان امنیتی، مدت‌زمانی طولانی است.

در مقام مقایسه، بد نیست بدانید محققان امنیتی گوگل، پیش از انتشار جزئیات حفره‌های امنیتی، هشداری ۹۰ روزه به شرکت‌های صاحب عناوین نرم‌افزاری مشکل‌دار می‌دهند. در مدت‌زمانی که مایکروسافت در حال انجام تحقیقات بود، هکرها این حفره امنیتی را شناسایی و از آن برای دست‌یابی به مقاصد مختلف نظیر جاسوسی از فعالان سیاسی در کشور اوکراین استفاده کردند. گروهی از سارقان اینترنتی نیز از این حفره امنیتی برای سرقت مبالغی از میلیون‌ها حساب بانکی آنلاین در استرالیا و دیگر کشورها بهره بردند.

این باگ نرم‌افزاری، کاملا خطرناک است؛ اما در دسته حفره‌های امنیتی متداول در حوزه امنیت سایبری قرار می‌گیرد. نفوذگران با استفاده از این حفره امنیتی، امکان در دست گرفتن کنترل کامپیوترهای شخصی قربانیان را با به‌جا گذاشتن کمترین ردپا از خود داشتند.

آنچه در ادامه خواهید خواند، جزئیاتی است که در نتیجه مصاحبه با محققان مختلف شرکت‌های حوزه امنیت سایبری، توسط رویترز جمع‌آوری شده است؛ محققانی که مطالعه رویدادها و تحلیل‌ نسخه‌های مختلف کدهای مخرب را بر عهده داشته‌اند. مایکروسافت نیز توالی این رویدادها را تأیید کرده است.

اصل ماجرا از جولای سال گذشته میلادی آغاز شد که رایان هانسون، فارغ‌التحصیل دانشگاه ایالت آیداهو و مشاور شرکت امنیتی اپتیو، نقطه‌ضعفی در نحوه پردازش نرم‌افزار مایکروسافت ورد روی برخی مستندات متنی پیدا کرد. این نقطه‌ضعف به هانسون اجازه داد لینکی به مقصد یک بدافزار را که امکان کنترل کامپیوتر را به نفوذگر می‌داد، در فرایند پردازش وارد کند.

ترکیب حفره‌های امنیتی

هانسون پس از چند ماه موفق شد این نقص امنیتی را با دیگر حفره‌های امنیتی ترکیب و راهکار خطرناک‌تری برای اجرایی کردن فرآیند نفوذ آماده کند. در ماه اکتبر، بالاخره هانسون این مشکل را به مایکروسافت گزارش داد. همان‌طور که می‌دانید مایکروسافت معمولا پاداشی هم برای افرادی که این حفره‌های امنیتی را شناسایی می‌کنند در نظر می‌گیرد.

مایکروسافت تأیید کرده است که بلافاصله پس از دریافت این گزارش، امکان برطرف کردن مشکل را داشته؛ اما رفع کامل حفره امنیتی جدید به این سادگی‌ها نبوده است. تغییر جزئی در تنظیمات نرم‌افزار مایکروسافت توسط مشتریان می‌توانست به حل مشکل بینجامد؛ اما در صورتی که مایکروسافت این مورد را به‌طور رسمی به کاربران خود اعلام می‌کرد، نفوذگران هم می‌توانستند به بازگردانی تنظیمات و پیاده‌سازی مجدد حملات اقدام کنند.

گزینه بعدی، ایجاد یک بسته نرم‌افزاری بود تا به‌عنوان به‌روزرسانی نرم‌افزاری ماهیانه در اختیار کاربران قرار گیرد. مایکروسافت ترجیح داد بررسی بیشتری روی موضوع داشته باشد و از همین رو، این بسته نرم‌افزاری را بلافاصله منتشر نکرد. به بیان دقیق‌تر، معلوم نبود تمامی نفوذگران از روش خاص هانسون استفاده کنند و از همین رو باید تمامی احتمالات در نظر گرفته می‌شد.

سخنگوی مایکروسافت در این خصوص می‌گوید: ما تحقیقات تکمیلی را انجام دادیم تا دیگر روش‌های مشابه نیز شناسایی و بررسی شوند. در نهایت، قصد ما بر آن بود تا اطمینان حاصل کنیم بسته امنیتی عرضه‌شده، فراتر از یک مورد خاص گزارش‌شده را پوشش می‌دهد. این تحقیقات، کاملا پیچیده بود. این شرایط نشان می‌دهند عملکرد مایکروسافت و در نگاهی کلی‌تر، واکنش شرکت‌های فعال در حوزه نرم‌افزار به مشکلات امنیتی، در دوره‌ای که تعداد حفره‌های نرم‌افزاری روزبه‌روز بیشتر می‌شود، ناهمگون و متفاوت است.

شروع حملات

هنوز مشخص نیست که نفوذگران در ابتدای امر چگونه از وجود حفره امنیتی شناسایی‌ شده توسط هانسون باخبر شدند. این امر ممکن است در نتیجه تشخیص هم‌زمان مشکل امنیتی توسط افراد دیگر، درز اطلاعات در فرآیند ایجاد بسته امنیتی توسط مایکروسافت یا حتی نفوذ به سیستم‌های شرکت اپتیو یا مایکروسافت به وقوع پیوسته باشد.

در ماه ژانویه یعنی زمانی که مایکروسافت تمرکز خود را روی ارائه راهکاری امنیتی گذاشته بود، حملات نفوذگران آغاز شد. اولین قربانیان، کاربرانی بودند که ایمیلی به همراه لینک آلوده دریافت کردند. این لینک به‌ظاهر قرار بود مستنداتی به زبان روسی در خصوص استراتژی‌های نظامی روسیه و نواحیی که توسط شورشیان بهره‌مند از پشتیبانی این کشور، در شرق اوکراین تصرف شده بود، پیش روی کاربران قرار دهد. در نهایت، کامپیوتر این دسته از کاربران توسط نرم‌افزار استراق سمعی که توسط گاما گروپ توسعه یافته بود، آلوده می‌شد. گاما گروپ شرکتی خصوصی است که نرم‌افزارهای مختلف را به آژانس‌های امنیتی دولت‌های مختلف می‌فروشد.

دقیق‌ترین تحلیل متخصصان امنیتی حکایت از آن دارد که احتمالا یکی از مشتریان گاما قصد داشته به کامپیوترهای سربازان یا احزاب سیاسی در اوکراین، روسیه یا دیگر کشورهای همسایه و متحدان آن‌ها دسترسی پیدا کند. جاسوسی‌های دولتی به این شکل و شمایل، امری معمول و متداول به‌حساب می‌آیند.

حملات اولیه با هدف کنترل کامپیوتر اهداف مشخص و محدودی انجام می‌شد و از همین رو امکان رصد میزان پراکندگی آلودگی وجود داشت. این در حالی است که در ماه مارس، محققان امنیتی شرکت فایرآی متوجه فعالیت بدافزاری به نام لیتن‌بات (Latenbot) شدند که به‌منظور نفوذ به مؤسسه‌های مالی و اعتباری، با استفاده از همین باگ مایکروسافت توزیع شده بود. بررسی‌ بیشتر حکایت از آن داشت که پیش از این نیز حملاتی بر این اساس انجام شده است. در نهایت، فایرآی، مایکروسافت را از این موضوع مطلع کرد. مایکروسافت نیز تأیید کرده که اولین هشدارها در خصوص وقوع حملات را در ماه مارس میلادی دریافت کرده است.

در ادامه، شرکت مکافی هم حملاتی را در ششم آوریل رصد کرد که با استفاده از همین حفره امنیتی مایکروسافت ورد صورت گرفته بود. مکافی مایکروسافت را از وجود این مشکل باخبر کرد و در هفتم آوریل نیز شرح ماجرا را در وبلاگ خود قرار داد. پست منتشرشده در وبلاگ این شرکت آن‌چنان مبسوط بود که حتی نفوذگران دیگر هم می‌توانستند با استفاده از آن، از حملات انجام‌شده الگوبرداری کنند. متخصصان امنیتی معتقدند مکافی باید در سیاستی مشابه با آنچه توسط اپتیو و فایرآی اتخاذ شده بود خویشتن‌داری بیشتری می‌کرد، منتظر عرضه بسته امنیتی توسط مایکروسافت می‌ماند‌‌ و دست به افشای جزئیات نمی‌زد. پس از این، در نهم آوریل، نرم‌افزاری که امکان بهره‌برداری از این حفره امنیتی را فراهم می‌کرد در بازارهای زیرزمینی ویژه نفوذگران به فروش رسید.

روز بعد، شاهد پیاده‌سازی حملات به شکل گسترده‌تر بودیم و یکی از نفوذگران، بدافزار کلاهبرداری از حساب‌های بانکی را با استفاده از همین باگ نرم‌افزار ورد توسعه داد و به میلیون‌ها کامپیوتر در استرالیا ارسال کرد. در نهایت، با گذشت شش ماه از دریافت اولین هشدار، مایکروسافت بسته امنیتی رفع مشکل را آماده کرد. این در حالی است که طبق معمول، برخی کاربران نسبت به دریافت و نصب این بسته امنیتی بی‌اعتنا بودند.

 مارتن میکوس، مدیر اجرایی هکر وان که در زمینه آماده‌سازی بسته‌های امنیتی به محققان و شرکت‌ها مشاوره می‌دهد در خصوص این تأخیر شش‌ماهه می‌گوید: تأخیر شش‌ماهه، امری ناخوشایند در حوزه امنیت سایبری است؛ اما پیش از این نیز چنین تأخیری در عرضه بسته‌های امنیتی شاهد بوده‌ایم. حال آنکه فرآیند رفع مشکل، در حالت معمول تنها به چند هفته زمان نیاز دارد.

سخنگوی اپتیو اعلام کرده است که این شرکت پیش از انتشار نتایج تحقیقات یا جزئیات تکمیلی، معمولا فرصتی ۴۵ روزه برای رفع مشکلات امنیتی به شرکت‌ها می‌دهد. اپتیو در حال حاضر مقایسه اطلاعاتی را که توسط هانسون به مایکروسافت اعلام شده بود با آنچه توسط جاسوسان و مجرمان سایبری به مرحله اجرا درآمده، در دستور کار قرار داده است. این در حالی است که هنوز اطلاعات دقیقی از تعداد کامپیوترهای آلوده‌شده یا میزان وجوه سرقت شده از قربانیان در دست نیست.

منبع REUTERS