باگ امنيتي خطرناك در ۲۸ آنتي ويروس مشهور كشف شد
محققان امنيتي مؤسسهي تحقيقاتي RACK911 Labs در گزارش جديدي ادعا كردند آسيبپذيري موسوم به Symlink Race را در ۲۸ نرمافزار آنتيويروس بزرگ كشف كردهاند. گروه امنيتي ميگويد مجرمان سايبري با سوءاستفاده از باگ ميتوانند فايلهاي حساس و متخصصدي آنتيويروس يا حتي سيستمعامل متخصص را پاك كنند؛ اقدامي كه به ازكارافتادن نرمافزار يا سيستمعامل منجر ميشود و عملكرد كامپيوتر را مختل ميكند.
همانطوركه گفته شد، آسيبپذيري امنيتي پيداشده در باگ موجود در آنتيويروسها بهنام Symlink Race شناخته ميشود. آسيبپذيري مذكور زماني رخ ميدهد كه فايل مخرب را به فايلي قانوني و سالم متصل كنيد. اين اتصال باعث اجراي كدهاي مخرب در فايل سالم ميشود. آسيبپذيريهاي اينچنيني عموما براي اتصال فايلهاي مخرب به فايلهايي با دسترسي بالا استفاده ميشوند؛ درنتيجه حملههايي موسوم به Elevation-of-Privelege يا EoP را در سيستمهاي قرباني شاهد هستيم. متخصص كارشناسان امنيتي ميگويند امكان اجراي همزمان فرايندها، يكي از آسيبپذيريهاي قديمي سيستمعاملها محسوب ميشود و از مدتها پيش، اختلالهاي متعددي براثر آنها گزارش شده است.
باگ امنيتي موجب پاكشدن فايلهاي سيستمي آنتيويروس و سيستمعامل ميشود
گروه امنيتي RACK911 Labs در گزارش جديد خود ميگويد از سال ۲۰۱۸، وجود باگهاي امنيتي را در نرمافزارهاي آنتيويروس مطالعه ميكند. آنها ۲۸ سرويس را در سيستمعاملهاي لينوكس و مك و ويندوز شناسايي كردهاند كه به آسيبپذيري شديد دچارند. پس از كشف آسيبپذيري نيز، اطلاعرساني لازم به سازندههاي نرمافزار انجام شد. RACK911 Labs اعلام كرد برخي از شركتها در بيانيههايي رسمي، وجود باگ و رفع آن را به متخصصان اعلام و برخي ديگر تنها باگ را برطرف كردند و اطلاعرساني انجام ندادند. درنهايت، گروه امنيتي به فهرست آنتيويروسهايي اشاره نكرد كه پچ امنيتي مناسب را منتشر نكردند.
گزارش امنيتي اخير ميگويد نرمافزارهاي آنتيويروس بهدليل طبيعت عملكردي خود، به چنين آسيبپذيريهايي مبتلا هستند. از زمانيكه فايلهاي اسكنشده و برخي از آنها مخرب شناسايي ميشوند تا زمانيكه آنتيويروس وارد عمل ميشود و تهديد را از بين ميبرد، فاصلهاي وجود دارد. مجرمان سايبري از همين زمان استفاده و فايل مخرب را ازطريق اتصال به فايلي سالم و قانوني جايگزين ميكنند. محققان امنيتي براي نشاندادن صحت گزارش خود، نمونهاي از اتصال فايل مخرب را پيادهسازي كردند. آنتيويروس براي پاككردن فايل مخرب متصل به فايل سالم، درواقع فايلهاي سيستمي خود يا سيستمعامل را پاك كرد كه به اختلال عملكردي منجر شد.
در بخشي از گزارش RACK911 Labs ميخوانيم:
در آزمايشهاي عملي خود در ويندوز و مك و لينوكس توانستيم فايلهاي مهم مرتبط با نرمافزار آنتيويروس را بهراحتي پاك كنيم؛ فرايندي كه به ازكارافتادن نرمافزار منجر شد. حتي فايلهاي اصلي سيستمعامل نيز در آزمايش پاك شدند كه درنهايت براي رفع اختلال ايجادشده، به نصب مجدد سيستمعامل نياز بود.
گزارش امنيتي، تنها جزئيات پاككردن فايلها را نشان ميدهد. متخصصان امنيت سايبري اعتقاد دارند با سوءاستفادهي شديدتر از آسيبپذيري مذكور، شايد بتوان فايلها را با فايلهاي مخرب ديگر جايگزين هم كرد كه درنهايت، به كنترل كامل سيستم بهدست مجرم سايبري ميانجامد.
حملههاي سايبري با بهرهگيري از باگ كشفشده نيازمند حضور مجرم در موقعيتي هستند كه توانايي دانلود و اجراي كد حمله را در دستگاه داشته باشد. درنتيجه، چنين حملههايي براي نفوذ استفاده نميشوند و پس از نفوذ اوليه رخ ميدهند. مجرم سايبري با سوءاستفاده از حملهي جديد، نفوذ خود را عميقتر و تأثيرگذارتر ميكند؛ درنتيجه اين نوع باگ، تنها بهعنوان حملهي فاز دوم در آلودگي به بدافزار استفاده ميشود و متخصصدهايي همچون افزايش دسترسي مجرم سايبري يا غيرفعالكردن آنتيويروس يا ازكارانداختن كامل سيستم دارد.
درحالحاضر، اكثر باگهايي كه RACK911 Labs در آنتيويروسها كشف كرده، بستهي امنيتي الحاقي پيدا كردهاند. بههرحال، شايد نمونههايي مشابه در آيندهي نهچندان دور بازهم در سيستمها پيدا شود. باگهاي موسوم به Symlink Race از باگهاي نرمافزاري قديمي در دههي گذشته هستند كه رفعكردن آنها هم به اقدامهاي پيچيده نياز دارد.
هم انديشي ها