گوگل مدعی است که ابزار امنیتی مایکروسافت موسوم به Windows Security حتی در برابر یک ایمیل باز نشده هم آسیبپذیر است.
گوگل نقصی در ابزار امنیتی مایکروسافت موسوم به Microsoft Malware Protection Engine یا MsMpEng یافته است؛ این ابزار در تمام ابزارهای مدرن مبتنی بر ویندوز استفاده میشود و بهموجب این نقص میتوان کنترل یک کامپیوتر مبتنی بر ویندوز را صرفا با ارسال یک ایمیل به دست گرفت. بر اساس گزارش ناتالی سیلوانوویچ و تاویس اورماندی، پژوهشگرهای Project Zero گوگل، حتی لزومی به باز کردن ایمیل نیست و تنها با ارسال ایمیل به دستگاه ویندوزی، فرایند هک اجرا میشود.
اورماندی این باگ را «بسیار بد» توصیف کرده و آن را در نوع خود، «بدترین نمونهی باگ سالهای اخیر» دانسته است. او در گزارشهای فنی مربوط به این باگ مینویسد:
آسیبپذیریهای مربوط به MsMpEng یا موتور محافظت در برابر بدافزار مایکروسافت، بدترین نمونههای ممکن در ویندوز به شمار میروند و دلیل این موضوع مزایا، دسترسیپذیری و همهگیر بودن سرویس یادشده است.
خوشبختانه مایکروسافت بلافاصله وصلهای برای رفع این باگ منتشر کرد؛ بنابراین احتمالا امروز تمام کامپیوترهایی که دچار مشکل شدهاند، آپدیتی دریافت خواهند کرد. مایکروسافت در صفحهی مربوط به این وصلهی امنیتی مینویسد:
چنانچه در نرمافزار ضد بدافزاری که دچار مشکل شده است، قابلیت محافظت بیدرنگ (Real-Time Protection) فعال باشد، موتور محافظت در برابر بدافزار مایکروسافت فایلها را بهطور خودکار اسکن میکند و هنگامی که فایل مخرب اسکن شد، شروع به سوءاستفاده از این آسیبپذیری میکند.
چنانچه قابلیت محافظت بیدرنگ فعال نباشد، سوءاستفاده از این فایل مخرب از آسیبپذیری MsMpEng تا زمان آغاز فرایند اسکن زمانبندیشده به تعویق میافتد. تمام سیستمهایی که از نسخهی آسیبپذیر نرمافزار ضد بدافزار ما استفاده میکنند، در خطر هستند. این بهروزرسانی، آسیبپذیری یادشده را از طریق اصلاح نوع اسکن فایلهای دستکاریشده و مخرب توسط MsMpEng رفع میکند.
طبق اعلام مایکروسافت، این بهروزرسانی بهصورت خودکار انجام خواهد شد و کاربران مجبور به دانلود چیزی نخواهند بود. کاربران میتوانند از طریق دنبال کردن دستورالعمل موجود در صفحهی مربوط به این بهروزرسانی، از دریافت یا عدم دریافت آن اطمینان حاصل کنند.
منشأ باگ چیست؟
منشأ مشکل مذکور در NScript است؛ یکی از اجزای MsMpEng که ساختاری مشابه جاوا اسکریپت دارد و فایلهای سیستمی و فعالیت شبکه را آنالیز میکند. اما در مورد آسیبپذیری اخیر، اِناسکریپت در اثر باگی موسوم به Type Confusion، هنگام تحلیل کد قادر به صحهگذاری صحیح اطلاعات نبود؛ بنابراین فرد حملهکننده میتوانست کدهای مخرب را داخل هر چیزی پنهان کند که توسط نرمافزار اسکن شده است، مانند ایمیل دریافتی یا فایلی که توسط یک وبسایت میزبانی میشود. این آسیبپذیری ممکن است روی دستگاههای مبتنی بر ویندوز ۸، ۸.۱، ۱۰ و ویندوز سرور که وصلهی امنیتی را دریافت نکردهاند، مورد سوءاستفاده قرار بگیرد.
اورماندی به این موضوع اشاره میکند که «در سطح شبکه، راهی عملی برای شناسایی سوءاستفاده از این آسیبپذیریها وجود ندارد؛ از اینرو باید مدیران سیستم در اسرع وقت نسبت به دریافت وصلهی امنیتی اقدام کنند.»
متیو هیکی از مؤسسان شرکت هکر هاوس میگوید:
این آسیبپذیری به نظر شدید میرسد و هک اثبات مفهوم، قابلیتهای اجرای از راه دور کدها را در شرایط مختلف به نمایش میگذارد: شما میتوانید از یک سیستم با آپلود فایلی به یک سرور تحت وب یا ارسال ایمیلی به یک کامپیوتر مبتنی بر ویندوز، سوءاستفاده کنید. سرویس ضد بدافزار بهصورت پیشفرض در تمام سیستمهای مبتنی بر ویندوز ۸ و به بالا، فعال است. این باگ بسیار بحرانی به نظر میرسد.
به نظر میرسد این سرویس محافظت از بدافزار، ممکن است پاشنهی آشیلی در مدل امنیت مایکروسافت باشد و کاربران باید غیر فعال کردن آن را نیز بهعنوان یکی از گزینههای خود در نظر بگیرند.
با وجود وخامت اوضاع، اورماندی، پژوهشگر گوگل سرعت عمل مایکروسافت را در رفع باگ یادشده ستایش کرده است و این مسئله ارزش افشا شدن باگهای اینچنینی را نشان میدهد. اورماندی طی توئیتی اعلام کرد:
از سرعت عمل تیم امنیتی مایکروسافت برای حل مشکل و محافظت از کاربران این کمپانی شگفتزده هستم.
