به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ روز یكشنبه شركت مایكروسافت تایید كرد كه یك آسیب پذیری اصلاح نشده جدید در نسخه های 6 تا 11 IE كشف شده است. بنا به راهنمایی امنیتی كه توسط مایكروسافت منتشر شده است: این آسیب پذیری كه می تواند منجر به اجرای كد از راه دور شود در برخی از حملات هدفمند و محدود استفاده شده است.
با توجه به گزارشات شركت امنیتی FireEye كه برای اولین بار این آسیب پذیری را گزارش داده است: در حالی كه تمامی نسخه های مرورگر وب، IE 6 تا IE 11 تحت تاثیر این آسیب پذیری قرار دارند اما در حال حاضر نسخه های 9، 10 و 11 هدف حمله قرار گرفته است. این حملات از یك آسیب پذیری استفاده پس از آزادسازی استفاده می كنند و هر دو محافظت های DEP و ASLR را دور می زند. در حال حاضر این آسیب پذیری توسط گروهی از هكرها برای حمله به سازمان های دفاعی و مالی امریكا مورد سوء استفاده قرار می گیرد.
شركت FireEye اعلام كرد كه این آسیب پذیری مهمی است زیرا بیش از یك چهارم از تمامی مرورگرهای جهان را تحت تاثیر قرار داده است. شركت مایكروسافت نیز اعلام كرد كه در حال بررسی این آسیب پذیری است و در اسرع وقت یك به روز رسانی امنیتی خارج از نوبت را برای برطرف شدن این مساله منتشر خواهد كرد.
محدودسازی آسیب پذیری:
- به صورت پیش فرض، مرورگر IE در ویندوز سرور 2003,2008.2008 r2,2012, 2012 r2 در حالت محدود اجرا شده كه به Enhanced Security Configuration شناخته می شود. این تنظیم، مانع از اجرا شدن آسیب پذیری می گردد.
- به صورت پیش فرض، تمامی نسخه های outlook، outlook express، Windows Mail پست الكترونیك را در حالت محدود باز می نمایند كه مانع از اجرا شدن اسكریپت، ActiveX و اجرا شدن بدافزار می گردد. البته اگر كاربر بر روی لینك كلیك كند می تواند مورد سواستفاده آسیب پذیری قرار بگیرد.
- مهاجمی كه قادر به سو استفاده از آسیب پذیری مذكور باشد، دسترسی برابری با دسترسی كاربر پیدا می كند. كاربرانی كه حساب كاربری آنها در حالت دسترسی پایین تر تنظیم شده است كمتر از كاربران با سطح دسترسی admin در معرض تهدید می باشند.
- در سناریوی حمله مبتنی بر وب، مهاجم می تواند یك وب سایت آلوده را هاست كند كه برای سواستفاده از این آسیب پذیری تهیه شده است. به علاوه وب سایتهای آلوده و وب سایتهایی كه محتوا و تبلیغ از سمت كاربر را قبول می كنند یا هاست می كنند در معرض این آسیب پذیری هستند.
- در تمامی حالات مهاجم باید راهی داشته باشد تا كاربر را راضی به مشاهده صفحات آلوده نماید.
راهكارهای مقابله با آسیب پذیری:
- پیكربندی EMT 4.1 – این مشخصه را می توان برای دو حالت در Group policy و در مرورگر تنظیم نمود.
https://support.microsoft.com/kb/2458544
- تنظیمات امنیتی اینترنت و اینترانت را به حالت High و مسدودسازی كنترل های ActiveX و Active script در مرورگر فعال نمایید.
- تا زمان تولید وصله امنیتی مناسب برای آسیب پذیری، VGX.DLL را به روش زیر غیرفعال نمایید.
در مسیر Run، دستور زیر را برای غیرفعالسازی DLL اجرا نمایید:
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
پس از تولید وصله امنیتی مناسب و نصب آن می توانید مجددا DLL مربوطه را به روش زیر فعال نمایید.
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
- محدوسازی دسترسی از طریق ACL به VGX.DLL
در CMD دستور زیر را وارد نموده و فهرست كنترل دسترسی كنونی را برای بازگشت به حالت نرمال پس از نصب وصله را نمایش می دهد.
cacls "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
دستور زیر را برای محدودسازی دسترسی everyone به فایل DLL اجرا نموده و مرورگر IE را بسته و مجددا باز نمایید.
echo y| cacls "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" /d everyone
برای بازگشت به حالت اولیه می توانید از دستور زیر استفاده نمایید.
echo y| cacls "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" /g original ACL’s
- تنظیم EPM (Enhanced Protected Mode) در مرورگر IE نسخه 11، از طریق گزینه Advanced در Internet options و فعالسازی Enable Enhanced Protected Mode و Enable 64-bit processes for Enhanced
منبع: مرکز ماهر
• همراه وبگردی ٢٠:٣٠ باشید
