مایکروسافت بهتازگی اعلام کرد که درحال توسعهی یک وصله برای آسیبپذیری روز-صفرم موجود در اینترنت اکسپلورر است که در حملات هدفمند گروه تهدید DarkHotel مورد بهرهبرداری قرار گرفته است. تا زمانی که این وصله در دسترس قرار گیرد، مایکروسافت برخی راهکارهای مقابله با این آسیبپذیری را به اشتراک گذاشته است.
این آسیبپذیری که با شناسهی CVE-2020-0674 ردیابی میشود و بهعنوان یک مسألهی خرابی حافظه توصیف میشود، موتور اسکریپتنویسی اینترنت اکسپلورر بهخصوص یک مؤلفهی Jscript را تحت تأثیر قرار میدهد. این مؤلفهی مشکلدار یک کتابخانه به نام jscript.dll است که با یک نسخهی منسوخ از زبان اسکریپتنویسی Jscript سازگاری دارد.
بهگفتهی مایکروسافت، این آسیبپذیری میتواند برای اجرای کد از راه دور در Context کاربر هدف مورد بهرهبرداری قرار گیرد. این مهاجم باید کاربر هدف را متقاعد کند تا از یک وبگاه آلوده بهمنظور بهرهبرداری از این آسیبپذیری بازدید کنند. درصورتیکه کاربر هدف امتیازات مدیر را داشته باشد، میتوان از این آسیبپذیری برای دستیابی به کنترل سیستم آسیبدیده بهرهبرداری کرد.
مایکروسافت بیان میکند که این آسیبپذیری اینترنت اکسپلورر نسخهی ۹، ۱۰ و ۱۱ را در هنگام اجرا در ویندوز ۷، ۸، ۱۰، سرور ۲۰۰۸، سرور ۲۰۱۲، سرور ۲۰۱۶ و سرور ۲۰۱۹ تحت تأثیر قرار میدهد.
مایکروسافت بیان میکند که این خطر در ویندوز سرور کاهش یافته است زیرا اینترنت اکسپلورر بهطور پیشفرض در حالت محدود یعنی Enhanced Security Configuration اجرا میشود که احتمال بارگیری یا اجرای محتوای مخرب در یک سرور توسط یک کاربر یا مدیر را کاهش میدهد.
این غول فناوری خاطرنشان کرده است که همهی نسخههای پشتیبانیشدهی اینترنت اکسپلورر بهطور پیشفرض از Jscript.dll استفاده میکنند که تحت تأثیر این آسیبپذیری قرار نگرفته است. بااینحال این آسیبپذیری وبگاههای مشخصی را که به Jscript بهعنوان موتور اسکریپتنویسی وابسته هستند، تحت تأثیر قرار میدهد.
تا زمانی که یک وصله برای این آسیبپذیری منتشر شود، مایکروسافت به کاربران توصیه کرده است تا دستورات مدیریتی خاصی را برای محدود کردن دسترسی به jscript.dll وارد کنند. کاربران باید قبل از نصب بهروزرسانیهای بعدی از این راهحل استفاده کنند.
مایکروسافت بیان میکند که دربارهی این آسیبپذیری از گروه تجزیه و تحلیل تهدید گوگل و شرکت امنیت سایبری چینی Qihoo 360 اطلاعات کسب کرده است. این شرکت در مشاورهنامهی خود بیان میکند که از وجود این آسیبپذیری اطلاع دارد و روی انتشار یک وصله کار میکند. سیاست استاندارد این شرکت، انتشار بهروزرسانیهای امنیتی در بهروزرسانی روز سهشنبه است، این زمانبندی قابل پیشبینی امکان تضمین کیفیت و برنامهریزی فناوری اطلاعات را فراهم میکند که به نگهداری زیستبوم ویندوز بهعنوان یک انتخاب امن و قابل اطمینان برای مشتریان کمک میکند.
Qihoo ۳۶۰ شواهدی پیدا کرده است که نشان میدهد این آسیبپذیری توسط گروه تهدید DarkHotel مورد بهرهبرداری قرار گرفته است. برخیها معتقدند که این گروه تحت حمایت کرهی جنوبی است. DarkHotel اخیراً به حملاتی که از یک آسیبپذیری روز-صفرم در کروم بهرهبرداری میکند، نسبت داده شده است.
یکی از پژوهشگران گوگل بیان کرده است که بهزودی جزئیات بیشتری دربارهی بهرهبرداریهای مربوط به CVE-2020-0674 منتشر خواهد کرد. گروه تجزیه و تحلیل تهدید گوگل چند آسیبپذیری ازجمله CVE-2018-8653، CVE-2019-1367، CVE-20190676، CVE-2019-1429 و CVE-2019-0808 را در سالهای گذشته به مایکروسافت گزارش داده است.
۰patch که برای آسیبپذیریهای جدی میکروپچهای شخص ثالث ارائه میدهد، قول داده است که بهزودی برای CVE-2020-0674 یک وصله منتشر کند. این وصله از بارگیری jscript.dll توسط اینترنت اکسپلورر جلوگیری خواهد کرد. کارشناسان امنیتی به کاربران توصیه کرده است تا از اینترنت اکسپلورر استفاده نکنند، اما مشاورهنامهی منتشرشده توسط زیمنس نشان میدهد که برخی نرمافزارهای مبتنیبر وب همچنان تنها در اینترنت اکسپلورر میتوانند باز شوند.