وسوم

, , , , , , , , , , ,

بعد يومين من تحذير شركة Microsoft مستخدمي برامجها من وجود ثغرة في متصفح Internet Explorer أعلنت شركة Adobe يوم الاثنين 28 نيسان 2014 عن اكتشافها ثغرة غير مرقعة في برنامج Flash الذي تصدره، وقد استخدمت هذه الثغرة في عملية استهداف ضيقة لشريحة من المستخدمين السوريين وعثر على الاستغلال على أحد المواقع الحكومية السورية.

اكتشفت الثغرة في بداية شهر نيسان من قبل بعض الباحثين في مختبرات شركة Kaspersky Lab، وقد أكدوا على وجود استغلالين فعالين على الأقل لهذه الثغرة حتى الآن.

كلا الاستغلالين يتم تحميله من موقع وزارة العدل السورية http://jpic.gov.sy والذي تم إطلاقه في عام 2011 وقد صمم على شكل منتدى لتقديم الاعتراضات والشكاوى القضائية

“كلا الاستغلالين يتم تحميله من موقع وزارة العدل السورية http://jpic.gov.sy والذي تم إطلاقه في عام 2011 وقد صمم على شكل منتدى لتقديم الاعتراضات والشكاوى القضائية” حسبما قال Vyacheslav Zakorzhevsky (فيتشلاف زكروجفسكي)، رئيس المجموعة التي قامت باكتشاف الهجمات في تحليل لثغرة الفلاش (CVE-2014-0515)  في شركة كاسبرسكي.

وأعطف بقوله: “عند دخولنا للموقع كانت الملفات التي استخدمت بالهجوم قد حذفت، وكانت موجودة سابقاً في المسار _css. ونعتقد أن من قام بهذه الهجمات وضع اسماً كهذا بهدف ابعاد شكوك مدراء الموقع، وقد تم استخدام سكربت لتحميل الملفات إلى جهاز المستخدم. وحتى تاريخه تجاوزت نسبة اكتشاف الاصابات 30 مستخدماً وجميعهم موجودون في سوريا، وذلك حسب معطيات شبكة كاسبرسكي الأمنية KSN، وما يثير الاهتمام أنّ جميعم قد زاروا الموقع باستخدام اصدارات متباينة من متصفح Mozilla Firefox”.

أصدرت Adobe ترقيعا لهذه الثغرة – إلاّ أنّه غير متوفر للمستخدمين السوريين دون استخدام وسيط Proxy وذلك بسبب التزام الشركة بقوانين العقوبات الأمريكية على سوريا.

تحليل لأحد الملفات المستخدمة في الهجوم ويظهر عنوان موقع وزارة العدل السورية

تحليل لأحد الملفات المستخدمة في الهجوم ويظهر عنوان موقع وزارة العدل السورية

وأوضح Zakorzhevsky بأنّ كلا الاستغلالين يأتي على شكل ملفات فديو فلاش غير محزومة movie.swf و include.swf على موقع وزارة العدل السورية وقد بدأ الهجوم في نهاية شهر آذار 2014 الماضي تقريباً.

وتختلف ديناميكية الهجومين باختلاف shellcode المستخدم في كلا الملفين، إلا أنّهما معاً يستخدمان تقنية heap spray في البداية، كما أنّهما يقومان بتفحص إصدار نظام التشغيل فإذا كان Windows 8 استخدم الاستغلال تعديلاً للشيل كود ليتناسب مع النظام.

وما أثار الاستغراب أنّ أحد الاستغلالين استهدف شريحة محددة وضيقة جداً من المستخدمين، حيث يبحث على الجهاز على ملحق لبرنامج MeetingPlace التابع لشركة Cisco، وفي حال عدم وجوده لن يعمل الاستغلال، ويقوم بحذف نفسه.

ويعتقد أنّ الهجوم تم تخطيطه وتنفيذه من قبل محترفين ممولين جيداً، وقد تم زرع هذه الملفات بعد اختراق الموقع المذكور آنفاً  لاستهداف مجموعة محددة من الزوار بناءً على معلومات استخباراتية سابقة، حسب Zakorzhevsky.

ملاحظة: بالنسبة لمستخدمي Google Chrome، مشغل الفلاش المضمن يقوم بالتحديث بشكل تلقائي، أمّا بالنسبة لمستخدمي متصفح Mozilla Firefox يرجى تنصيب التحديث الأمني بأسرع وقت ممكن!

Advertisements