محققان امنیتی در آزمایشگاه Reason جزئیات آسیب‌پذیری در پیام‌رسان فیسبوک نسخه ویندوز را بعد از انتشار به‌روز رسانی توسط مایکروسافت افشا کردند.

این باگ امنیتی فیسبوک به حمله کننده اجازه اجرای فایل دلخواه به مهاجم را می‌دهد و همچنین از این طریق مهاجم می‌تواند سعی در بدست آوردن کنترل طولانی مدت و یا همیشگی روی سیستم آسیب دیده را انجام دهد.

شناسه آسیب‌پذیری:

N/A

درجه آسیب‌پذیری:

N/A

نسخه‌های آسیب‌پذیری:

Facebook Messenger version 460.16

سال شناسایی: ۲۰۲۰

توضیحات:

آزمایشگاه Reason یافته‌های خود در مورد این آسیب‌پذیری را در ماه آپریل به شرکت فیسبوک اعلام نمود و بعد از انتشار به‌روز رسانی امنیتی در Microsoft store جزییات آن را به اشتراک گذاشت. طبق نظر محققان آسیب‌پذیری در نرم‌افزار باعث فراخوانی و بارگذاری Powershell ویندوز از طریق آدرس C:\python27 می‌شود. این آدرس زمانی ایجاد می‌شود که پایتون ورژن ۲.۷ در آدرس رایج و پیش‌فرض نصب شود در حالی که پایتون به‌صورت پیش‌فرض روی ویندوز نصب نیست. مهاجم می‌تواند فراخوانی انجام شده را hijack نموده و بدافزار را اجرا نماید. همچنین به این دلیل که این مسیر دارای درجه یکپارچه سازی بالایی نیست؛ برنامه مخرب می تواند بدون دسترسی ممتاز به آن مسیر دسترسی یابد.

برای تست‌ اکسپلویت آسیب‌پذیری، یک shell معکوس به نام فایل Powershell.exe در دایرکتوری پایتون قرار داد. با اجرای نرم‌افزار پیام‌رسان؛ فراخوانی فعال شد و shell معکوس با موفقیت اجرا شد. در ادامه بازیگر مخرب با اکسپلویت آسیب‌پذیری امکان کنترل همیشگی روی سیستم قربانی را فراهم می‌کند. برای این منظور مهاجم باید بررسی کلیدهای رجیستری؛ task های برنامه ریزی شده سیستم و سرویس‌ها را انجام دهد تا بتواند دسترسی خود را مستمر نماید. مهاجم باید به دنبال فراخوانی‌هایی باشد که یک دفعه در برنامه انجام می‌شود و یا با بررسی کد برنامه این فراخوانی را جستجو نماید.

یک reverse shell توسط msfvenom و یک listener توسط Metasploit برای فرایند POC ایجاد شد. زمانی که یک بار shell معکوس ایجاد شود، فایل ایجاد شده با تغییر نام به Powershell.exe به آدرس دایرکتوری C:\python27 انتقال داده می‌شود که می‌توان به این کار سرقت فراخوانی نیز نام گذاشت. در ادامه با اجرای یک listener روی ماشین حمله کننده پیش نیازهای دریافت Shell معکوس از سیستم قربانی با ایجاد فراخوانی فراهم می‌گردد. سپس با اجرای نرم‌افزار Messenger و ایجاد ارتباط shell معکوس فرایند اکسپلویت آسیب‌پذیری انجام می‌شود.

کابران استفاده کننده از این نرم‌افزار باید سریعا پیام‌رسان خود را به نسخه ۴۸۰.۵ به‌روز کنند و به دلیل اینکه هنوز گزارشی از اکسپلویت آسیب‌پذیری داده نشده خطر این باگ بسیار بالا است که می‌تواند ۱.۳ میلیادر کاربر استفاده کننده از این نرم‌افزار در معرض خطر قرار دهد. همچنین به دلیل همه‌گیری ویروس کرونا و محدودیت رفت و آمد، خطر این آسیب‌پذیری را افزایش می‌دهد.

امیدواریم از این مطلب باگدشت استفاده لازم را برده باشید.

منابع:

  1. Reason Security Lab