جزئیات کشف دو آسیبپذیری در فایرفاکس
فیلیپ مارتین، متخصص امنیتی شرکت Coinbase، جزئیات کشف دو آسیبپذیری در فایرفاکس را در یک پست وبلاگی منتشر کرد. این دو آسیبپذیری حدود دو ماه پیش کشف شده بودند.
فیلیپ مارتین، متخصص امنیتی شرکت Coinbase، جزئیات کشف دو آسیبپذیری در فایرفاکس را در یک پست وبلاگی منتشر کرد. این دو آسیبپذیری حدود دو ماه پیش کشف شده بودند. پنجشنبه 9 خرداد (30 می) چندین تن از کارمندان شرکت کوینبیس (Coinbase) ایمیلی را دریافت کردند که به نظر میرسید از طرف یک محقق به نام گرگوری هریس از دانشگاه کمبریج باشد. دامنهای که ایمیل از آن ارسال شده بود، دامنه واقعی دانشگاه کمبریج بود، هیچ المان بدخواهانهای نداشت و ابزارهای تشخیص اسپم قادر به شناسایی آن نبودند. طی هفتههای بعد، ایمیلهای مشابهی دریافت شد. در 27 خرداد (17 ژوئن) مجددا گرگوری هریس ایمیلی را ارسال کرد که این بار حاوی یک لینک بود. این لینک باعث مشکوک شدن متخصصان کوینبیس شد. ظاهرا مهاجم موفق شده بود به نوعی روی دامنه دانشگاه کمبریج برای خود صفحه وب و ایمیل بسازد. |
سناریو حمله پس از کلیک روی لینک، صفحهای باز میشد که حاوی یک کد مخرب جاوااسکریپت بود. این کد از یک نقص روز صفر گریز از سندباکس (CVE-2019–11708) استفاده میکند تا دسترسی خود را از داخل یک صفحه به کل مرورگر ارتقاء دهد و سپس از یک نقص روز صفر دیگر (CVE-2019–11707) استفاده میکند تا روی ماشین میزبان کد اجرا کند. کدی که روی میزبان اجرا میشود، یک shellcode است که با استفاده از دستور curl، فایل مخربی را دانلود میکند. |
پیشتر در مورد این دو نقص نوشته بودیم: موزیلا و دو روز صفرم در یک هفته این فایل مخرب، مرحله اول حمله است و کار آن سرقت اطلاعات از سیستم قربانی است. پس از مدتی تاخیر، فاز دوم حمله اجرا میشود. این تاخیر میتواند نشان دهنده این باشد که یک عامل انسانی اطلاعات سرقت شده را بررسی میکند تا اهداف مناسب حمله را برای فاز دوم انتخاب کند. فایل مخربی که در مرحله اول دانلود شده بود، فایل مخرب دیگری را برای مرحله دوم دانلود میکند که یک RAT (تروجان با دسترسی از راه دور) کامل است. |
واکنش متخصصان کوینبیس، ماشین کاربر قربانی را مورد کاوش قرار داد و متوجه راهاندازی شل توسط مرورگر شد. سپس زمانی که وبسایت مخرب هنوز فعال بود، کد بهرهبرداری از آسیبپذیری را بررسی کرده و نقصهای فایرفاکس را کشف کردند و به موزیلا اطلاع دادند. همچنین این محققان موضوع را به دانشگاه کمبریج اطلاع دادند و توانستند با همکاری آنها اطلاعات بیشتری درباره حمله و قربانیان آن به دست آورند. به نظر میرسد عاملان این حمله به دنبال اهداف خاصی برای حمله بودهاند، زیرا حملات بسیار هدفمندی را اجرا میکردند و از بین 200 هدف اولیه، در نهایت تنها 5 نفر را هدف گرفتند. این نوع فیشینگ هدفمند، ماهیگیری با نیزه یا spear phishing نامیده میشود. همچنین یکی از این آسیبپذیریها توسط ساموئل گروس (Samuel Groß) محقق Google Project Zero نیز کشف شده بود، اما محققان با بررسی کد بهرهبرداری مورد استفاده در حمله، حدس میزنند که مهاجمان به طور مستقل آن را کشف کردهاند. منبع: کوینبیس |