شناسایی یک آسیب پذیری اصلاح نشده جدید در نسخه های ۶ تا ۱۱ IE

به گزارش اِی وی نیوز، روز یکشنبه شرکت مایکروسافت تایید کرد که یک آسیب پذیری اصلاح نشده جدید در تمامی نسخه های IE کشف شده است.

بنا به راهنمایی امنیتی که توسط مایکروسافت منتشر شده است: این آسیب پذیری که می تواند منجر به اجرای کد از راه دور شود در برخی از حملات هدفمند و محدود استفاده شده است.

با توجه به گزارشات شرکت امنیتی FireEye که برای اولین بار این آسیب پذیری را گزارش داده است: در حالی که تمامی نسخه های مرورگر وب، IE 6  تا IE 11 تحت تاثیر این آُسیب پذیری قرار دارند اما در حال حاضر نسخه های ۹، ۱۰ و ۱۱ هدف حمله قرار گرفته است.

این حملات از یک آسیب پذیری استفاده پس از آزادسازی استفاده می کنند و هر دو محافظت های DEP و ASLR را دور می زند. در حال حاضر این آُسیب پذیری توسط گروهی از هکرها برای حمله به سازمان های دفاعی و مالی امریکا مورد سوء استفاده قرار می گیرد.

شرکت FireEye اعلام کرد که این آسیب پذیری مهمی است زیرا بیش از یک چهارم از تمامی مرورگرهای جهان را تحت تاثیر قرار داده است.

شرکت مایکروسافت نیز اعلام کرد که در حال بررسی این آسیب پذیری است و در اسرع وقت یک به روز رسانی امنیتی خارج از نوبت را برای برطرف شدن این مساله منتشر خواهد کرد.

محدودسازی آسیب پذیری:

·    به صورت پیش فرض، مرورگر IE در ویندوز سرور ۲۰۰۳,۲۰۰۸٫۲۰۰۸ r2,2012, 2012 r2 در حالت محدود اجرا شده که به Enhanced Security Configurationشناخته می شود. این تنظیم، مانع از اجرا شدن آسیب پذیری می گردد.

·    به صورت پیش فرض، تمامی نسخه های outlook، outlook express، Windows Mail پست الکترونیک را در حالت محدود باز می نمایند که مانع از اجرا شدن اسکریپت، ActiveX و اجرا شدن بدافزار می گردد. البته اگر کاربر بر روی لینک کلیک کند می تواند مورد سواستفاده آسیب پذیری قرار بگیرد.

·    مهاجمی که قادر به سو استفاده از آسیب پذیری مذکور باشد، دسترسی برابری با دسترسی کاربر پیدا می کند. کاربرانی که حساب کاربری آنها در حالت دسترسی پایین تر تنظیم شده است کمتر از کاربران با سطح دسترسی admin در معرض تهدید می باشند.

·    در سناریوی حمله مبتنی بر وب، مهاجم می تواند یک وب سایت آلوده را هاست کند که برای سواستفاده از این آسیب پذیری تهیه شده است. به علاوه وب سایتهای آلوده و وب سایتهایی که محتوا و تبلیغ از سمت کاربر را قبول می کنند یا هاست می کنند در معرض این آسیب پذیری هستند.

·    در تمامی حالات مهاجم باید راهی داشته باشد تا کاربر را راضی به مشاهده صفحات آلوده نماید.

 

راهکارهای مقابله با آسیب پذیری :

·   پیکربندی EMT 4.1 – این مشخصه را می توان برای دو حالت در Group policy و در مرورگر تنظیم نمود.
https://support.microsoft.com/kb/2458544

·   تنظیمات امنیتی اینترنت و اینترانت را به حالت High و مسدودسازی کنترل های ActiveX و Active script در مرورگر فعال نمایید.

·   تا زمان تولید وصله امنیتی مناسب برای آسیب پذیری، VGX.DLL را به روش زیر غیرفعال نمایید.

در مسیر Run، دستور زیر را برای غیرفعالسازی DLL اجرا نمایید:

“%SystemRoot%\System32\regsvr32.exe”-u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

پس از تولید وصله امنیتی مناسب و نصب آن می توانید مجددا DLL مربوطه را به روش زیر فعال نمایید.

“%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

·   محدوسازی دسترسی از طریق ACL به VGX.DLL

در CMD دستور زیر را وارد نموده و فهرست کنترل دسترسی کنونی را برای بازگشت به حالت نرمال پس از نصب وصله را نمایش می دهد.

cacls “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

دستور زیر را برای محدودسازی دسترسی everyone به فایل DLL اجرا نموده و مرورگر IE را بسته و مجددا باز نمایید.

echo y| cacls “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” /d everyone

برای بازگشت به حالت اولیه می توانید از دستور زیر استفاده نمایید.

echo y| cacls “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” /g original ACL’s

·     تنظیم EPM (Enhanced Protected Mode) در مرورگر IE نسخه ۱۱، از طریق گزینه Advanced در Internet options و فعالسازیEnable Enhanced Protected Mode و Enable ۶۴-bit processes for Enhanced Protected Mode
منبع: مرکز ماهر

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*