محققان امنیت سایبری جزئیات مربوط به یک آسیبپذیری را که اخیراً در نسخهی ویندوز برنامهی Messenger فیسبوک شناسایی شده است، منتشر کردند. این آسیبپذیری که در نسخهی ۴۶۰٫۱۶ برنامهی Messenger وجود دارد، در تلاش برای کمک به ماندگاری و دسترسی طولانیمدت بدافزار به سیستم، به مهاجمان اجازه میدهد تا این برنامه را برای اجرای فایلهای مخرب موجود بر روی یک سیستم آسیبدیده بهکار گیرند.
پس از گزارش این آسیبپذیری به فیسبوک، این غول شبکههای اجتماعی بلافاصله آن را با انتشار یک بهروزرسانی برای برنامهی Messenger خود از طریق فروشگاه مایکروسافت وصله کرد.
به گفتهی محققان، نسخهی آسیبپذیر برنامهی Messenger موجب فراخوانی بارگیری Powershell ویندوز از مسیر C:\python27 میشود. این مسیر بهطور معمول هنگام نصب نسخهی ۲٫۷ Python ایجاد شده و معمولاً در اکثر نصبهای ویندوز وجود ندارد.
مهاجمان میتوانند با هدف بارگیری منابع ناموجود برای اجرای مخفیانهی بدافزار، این فراخوانی را به سرقت ببرند. علاوهبراین، از آنجایی که دایرکتوری هدف نیز در یک موقعیت مکانی low-integrity قرار دارد، برنامههای مخرب میتوانند بدون امتیازهای مدیریتی، به این مسیر دسترسی پیدا کنند.
بهمنظور بررسی قابلیت بهرهبرداری از این آسیبپذیری، محققان یک شِل معکوس را بهعنوان Powershell.exe ایجاد کرده و آن را در دایرکتوری Python مستقر کردند. سپس، با اجرای برنامهی Messenger و انجام فراخوانی مربوط، شِل معکوس با موفقیت اجرا شد. بنابراین، اثبات میشود که مهاجمان میتوانند از این نقص برای حملات مداوم بهرهبرداری کنند.
بهطور معمول، مهاجمانی که از روشهای ماندگار استفاده میکنند، برای حفظ دسترسی فعال به یک سیستم، به کلیدهای رجیستری، وظایف برنامهریزیشده و سرویسها متکی هستند. بنابراین، بهرهبرداری از این نوع آسیبپذیریها پیچیدهتر به نظر میرسد. بنابراین، مهاجمان باید بررسی کنند که آیا یک برنامه بهصورت ناخواسته فراخوانی را انجام میدهد یا برای یافتن تابعی که منجر به چنین فراخوانی میشود، باید به کد باینری برنامه دسترسی پیدا کنند.
درحالحاضر، این آسیبپذیری در نسخهی ۴۸۰٫۵ وصله شده است. بنابراین، به کاربران توصیه میشود تا برنامهی خود را به آخرین نسخه بهروز کنند.
درحالیکه هیچ نشانهای مبنیبر بهرهبرداری از این آسیبپذیری وجود ندارد، اما چنین اشکالهایی بسیار خطرناک هستند. مهاجمان میتوانند از این نوع آسیبپذیریها برای دسترسی طولانیمدت به دستگاهها استفاده کنند. این دسترسی مداوم امکان انجام نفوذهای دیگری، از جمله ایمپلنت باجافزار و استخراج و نقض دادهها را برای آنها فراهم میکند. همچنین، گروههای تهدید از این روشهای مداوم برای انجام نفوذهای تخصصی و هدف قراردادن مؤسسههای مالی، دفاتر دولتی و سایر تأسیسات صنعتی استفاده میکنند.
علاوهبراین، از آنجایی که برنامهی Messenger فیسبوک ماهانه ۱٫۳میلیارد کاربر فعال دارد، بهرهبرداری از این آسیبپذیری میتوانست یک تهدید گسترده باشد. این مسئله زمانی نگرانکنندهتر میشود که استفاده از برنامههای پیامرسانی در دوران همهگیری ویروس کرونا بهصورت فزایندهای افزایش یافته است.
