خطر بحرانی ناشی از آسیب‌پذیری Adobe Flash

سه‌شنبه ۲۵ خرداد ۱۳۹۵
sharif-cert, apa, CVE-2016-4117, آسیب‌پذیری Adobe Flash, office، مرورگر
مرکز آپا شریف
SUT-APA-LOGO
چکیده:
آسیب‌پذیری موسوم به CVE-2016-4117 در روز ۱۹ اردیبهشت ۱۳۹۵ در ادوبی فلش‌پلیر کشف شده و وصله آن در ۲۳ اردیبهشت منتشر شده است. نسخه‌های 21.0.0.226 به قبل این محصول در ویندوز، مکینتاش، لینوکس، و سیستم‌عامل کروم واجد این آسیب‌پذیری هستند. با توجه به اینکه فلش‌پلیر در ایران به طور خودکار به‌روزرسانی نمی‌شود، همه کاربران ایرانی در معرض خطر جدی ناشی از این آسیب‌پذیری قرار دارند. این آسیب‌پذیری از اهمیت بحرانی برخودارد است و بدون نیاز به مجوز خاص یا دخالت کاربر از طریق یک سند آفیس یا هر سایتی که محتوای فلش در خود دارد، منتشر می‌شود، و به مهاجم امکان می‌دهد سیستم قربانی را کاملا در اختیار بگیرد. اکیدا توصیه می‌شود سیستم‌های آسیب‌پذیر هرچه زودتر به آخرین نسخه مرورگر و فلش‌پلیر به‌روزرسانی شوند تا از این آسیب‌پذیری و حداقل ۲۶ آسیب‌پذیری دیگر مصون بمانند.

مقدمه

در روز ۱۹ اردیبهشت ۱۳۹۵ آسیب‌پذیری جدیدی در ادوبی فلش پلیر (موسوم به CVE-2016-4117 [۱]) شناسایی شد که مهاجمین با استفاده از آن می‌توانستند هر کد دلخواهی را بر روی سیستم قربانی اجرا کنند و کنترل کامل آن را به دست بگیرند [۲]. شرکت ادوبی نیز به‌روزرسانی رفع این آسیب‌پذیری را چهار روز بعد (۲۳ اردیبهشت) منتشر کرد [۳]. این آسیب‌پذیری از همان ابتدا به واسطه یک فایل آلوده مایکروسافت آفیس1 کشف شد، و چند روز پس از انتشار نسخه اصلاح شده (1 خرداد)، محققین دریافتند که مهاجمین این آسیب‌پذیری را در کیت‌های حمله خود قرار داده و از آن برای حمله به سیستم‌های آسیب‌پذیر بهره می‌برند [۴]. این امر حاکی از اهمیت به‌روزرسانی به‌موقع و نصب وصله‌های امنیتی توسط کاربران است، چراکه پس از انتشار یک آسیب‌پذیری، مهاجمین می‌توانند به‌سادگی از کاربرانی که نسخه به‌روز را نصب نکرده است سوءاستفاده کنند. در ادامه، سیستم‌های آسیب‌پذیر، چگونگی به روزرسانی و رفع آسیب‌پذیری، و شیوه حمله تشریح می‌شود.

سیستم‌های آسیب‌پذیر

این آسیب‌پذیری بر روی ادوبی فلش پلیر نسخه‌های 21.0.0.226 به قبل بر روی ویندوز، مکینتاش، لینوکس، و سیستم‌عامل کروم1 وجود دارد. آسیب‌پذیری از طریق شبکه، به سادگی و بدون نیاز به مجوز خاص یا دخالت کاربر قابل سوء استفاده است. در این صورت، ممکن است اطلاعات محرمانه افشا، یا دستکاری و جعل شود. با توجه به اینکه سیستم قربانی کاملا در اختیار مهاجم قرار می‌گیرد، می‌تواند به مختل کردن سیستم قربانی نیز منجر شود. لذا این آسیب‌پ‍ذیری، در سطح بحرانی2 طبقه‌بندی شده است.
برای آگاهی از نسخه فلش پلیر نصب شده بر روی سیستم کافی است بر روی محتوایی که برای نمایش به این محصول نیازمند است (از قبیل انیمیشن یا ویدیوی پخش زنده) کلیک راست کنید و گزینه “About Adobe Flash Player” را از منوی نمایش داده شده انتخاب نمایید. اگر از چند مرورگر مختلف استفاده می‌کنید، این کار را برای هر یک از مرورگرها تکرار کنید. البته برخی مرورگرها نظیر گوگل کروم یا مایکروسافت اِج1 فلش پلیر درونی خود را دارند که با مرورگر به روزرسانی می‌شود.

رفع آسیب‌پذیری

لازم است همه سیستم‌های آسیب‌پذیر به آخرین نسخه فلش پلیر به‌روزرسانی شوند. شرکت ادوبی در به‌روزرسانی روز ۲۳ اردیبهشت خود آسیب‌پذیری CVE-2016-4117 و ۲۶ آسیب‌پذیری دیگر را بر طرف کرده است. با توجه به اهمیت آسیب‌پذیری‌های برطرف شده، این شرکت توصیه می‌کند محصولات زیر به سرعت و حداکثر ظرف ۷۲ ساعت به‌روز شوند (موارد دیگری نیز مشمول این به‌روزرسانی می‌شوند که به این آسیب‌پذیری مربوط نیستند و حساسیت کمتری دارند)
محصول سکوی کاری نسخه پس از به‌روزرسانی طریقه به‌روزرسانی
Adobe Flash Player Desktop Runtime 21.0.0.242 ویندوز، مکینتاش مرکز دانلود فلش پلیر
Adobe Flash Player Extended Support Release 18.0.0.352 ویندوز، مکینتاش مرکز پشتیبانی طولانی مدت
Adobe Flash Player for Google Chrome 21.0.0.242 ویندوز، مکینتاش، لینوکس، و سیستم‌عامل کروم به‌روزرسانی گوگل کروم
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 21.0.0.242 ویندوزهای ۱۰ و ۸.۱ به‌روزرسانی مایکروسافت
توجه:
محصول Adobe Flash Player Desktop Runtime به طور پیش‌فرض به طور خودکار به‌روزرسانی می‌شود. با توجه به اینکه شرکت ادوبی به کاربران ایرانی خدمات ارائه نمی‌دهد، باید نسخه جدید به صورت دستی نصب شود.
فلش پلیر در مرورگرهای گوگل و مایکروسافت در جدول فوق به صورت خودکار با به‌روزرسانی مرورگر به‌روز می‌شوند.

شیوه حمله

این آسیبب‌پذیری در عمل مورد سوء استفاده قرار گرفته است. در این حمله، مهاجم کد رخنه را در قالب محتوای فلش درون یک سند مایکروسافت آفیس قرار می‌دهد. قربانی ممکن است سند آلوده را به صورت یک پیوست ایمیل یا از یک میزبان وب دریافت کند. به محض باز کردن این سند، کد مخرب در پشت صحنه اجرا می‌شود و سیستم قربانی را آلوده می‌کند. برای جلوگیری از سوء ظن قربانی، یک سند فریبنده1 نیز به قربانی نشان داده می‌شود. هرچند آسیب‌پذیری CVE-2016-4117 به فلش پلیر بر روی سکوهای کاری مختلف مربوط است، اما حمله ذکر شده فقط با استفاده از مایکروسافت آفیس و بر روی سکوی ویندوز طراحی شده است. فرایند کامل حمله مشتمل بر گام‌های زیر است:
  1. قربانی سند آلوده را باز می‌کند.
    • برنامه آفیس سعی می‌کند فایل فلش جاسازی شده1 درون سند را نمایش دهد.
      • اگر نسخه فلش پلیر قدیمی‌تر از 21.0.0.196 باشد، حمله ناتمام باقی می‌ماند.
      • ii. در غیر این صورت، آسیب‌پذیری مورد سوءاستفاده قرار می‌گیرد.
  2. کد سوء استفاده یک کد پوسته1 را اجرا می‌کند.
    • a. کد پوسته اولیه، کد پوسته ثانویه‌ای را از کارگزار مهاجم دریافت و اجرا می‌کند.
  3. کد پوسته ثانویه:
    • یک بدافزار را دریافت و اجرا می‌کند.
    • b. یک سند فریبنده را دریافت و نمایش می‌دهد.
  4. بدافزار به کارگزار دیگر (فرماندهی و کنترل؛ C&C) متصل می‌شود و برای دریافت دستورات بعدی گوش‌به‌زنگ می‌ماند.
مراحل این حمله در شکل زیر آمده است:

جمع‌بندی

با توجه به حساسیت بالا و سادگی سوء استفاده از این حمله باید همه سیستم‌های آلوده به آخرین نسخه مرورگر و فلش‌پلیر به‌روز‌رسانی شوند.

منابع و مراجع

[1] CVE-2016-4117, MITRE Corporation, Retrieved May 24, 2016,
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4117
[2] J. Genwei, CVE-2016-4117: Flash Zero-Day Exploited in the Wild, FireEye Blogs, May 13, 2016,
https://www.fireeye.com/blog/threat-research/2016/05/cve-2016-4117-flash-zero-day.html
[3] “Security updates available for Adobe Flash Player,” Adobe Security Bulletin, Adobe Systems Inc., May 12, 2016,
https://helpx.adobe.com/security/products/flash-player/apsb16-15.html
[4] CVE-2016-4117 (Flash up to 21.0.0.213) and Exploit Kits, Malware don’t need Coffee, Mar 22, 2016,
 http://malware.dontneedcoffee.com/2016/05/cve-2016-4117-flash-up-to-2100213-and.html
[5] “Security Advisory for Adobe Flash Player,” Adobe Security Advisory, Adobe Systems Inc., May 10, 2016,
 https://helpx.adobe.com/security/products/flash-player/apsa16-02.html
[6] Flash Player Download Center,
 http://www.adobe.com/go/getflash
[7] Flash Player Extended Support,
 http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html