نجح نظام الكشف التجريبي الفرعي لكاسبرسكي لاب في تعطيل الهجمات التي تشن عبر ثغرة "يوم-الصفر" في برنامج Adobe Flash. وقد اكتشف الباحثون في كاسبرسكي لاب هذه الثغرة التي استهدفت من قبل البرمجيات المستغلة والتي وزعت بدورها عبر موقع قانوني حكومي صمم لاستقبال الشكاوى حول خرق القانون في بلد شرق أوسطي.
منتصف شهر أبريل بينما كان خبراء كاسبرسكي لاب يقومون بتحليل البيانات المتوفرة عبر شبكة كاسبرسكي للأمان، اكتشفوا هذا البرنامج المستغل الذي لم يكن معروفا في السابق. وقد تبين أن هذا البرنامج المستغل كان يستخدم ثغرة غير معرووفة في برنامج منتشر Adobe Flash Player. وتتواجد هذه الثغرة في Pixel Bender وهو مكون قديم صمم لمعاجمة الفيديو والصور.
وتبين خلال التحريات أن البرمجيات المستغلة انتشرت عبر موقع أنشئ في عام 2011 من قبل وزارة العدل السورية لتمكين المواطنين من إرسال الشكاوى حول اختراق القانون. باعتقادنا أن الهجمة شنت لاستهداف المعارضين السوريين الذين يشتكون على الحكومة.
وقد اكتشف خبراء كاسبرسكي لاب نوعين من البرمجيات المستغلة مع اختلاف في "shellcode" (وهو مقطع صغير من الرموز المستخدمة كحمولة لدى استغلال الثغرة في البرامج).
وقال فياتشيسلاف زاكورجيفسكي، مدير مجموعة بحوث الثغرات في كاسبرسكي لاب: "إن الثغرة الأولى أظهرت سلوكا بدائيا لحمولة "التحميل والتنفيذ" أما الثانية فقد حاولت التفاعل مع Cisco MeetingPlace Express Add-In – وهو ملحق خاص بـFlash للتفاعل وتحديدا للاطلاع المشترك على المستندات والصور على الحاسوب المكتبي للمستعرض. يعد هذا الملحق قانونيا بالكامل إلا أن في هذه الظروف قد يستخدم كأداة تجسس. كما أننا اكتشفنا أن الثغرة الثانية تعمل فقط في حال كانت نسخة معينة من Flash Player و CMP Add-In مثبتة على الحاسوب المستهدف. وهذا يعني أن المهاجمون استهدفوا قائمة محدودة جدا من الضحايا".
وفور اكتشاف الثغرة الأولى اتصل خبراء كاسبرسكي لاب بممثلي Adobe لإعلامهم بالثغرة الجديدة. وبعد التحقق من البيانات التي وفرتها شركة كاسبرسكي لاب، صرحت Adobe بأن الثغرة تتميز بوضع "يوم-الصفر" وطورت رقعة خاصة لإصلاح الثغرة، تتوفر على موقع Adobe الالكتروني. ورقم CVE الخاص بالثغرة هو CVE-2014-0515.
وأضاف زاكورجيفسكي: "على الرغم من أننا شهدنا عددا محدودا من الحالات لاستغلال هذه الثغرة إلا أننا ننصح المستخدمين بتحديث إصداراتهم من برنامج Adobe Flash Player. من المحتمل انه في حال انتشرت المعلومات حول هذه الثغرة سيحاول المجرمون الالكترونيون إعادة تطوير هذه البرمجيات المستغلة الجديدة أو يحصلون على النسخ المتوفرة ويستخدمونها في هجمات أخرى. حتى إن توفرت الرقعة، سيحاول المجرمون الالكترونيون تحقيق أرباح من هذه الثغرة لأن تحديث البرنامج المستخدم عالميا مثل Flash Player سيستغرق بعض الوقت. لسوء الحظ ستكون هذه الثغرة خطرة لفترة من الزمن".
للإطلاع المزيد من المعلومات حول ثغرة يوم-الصفر الجديدة في Adobe Flash زوروا هذا الرابط.
إنها المرة الثانية خلال هذا العام يكتشف فيها خبراء كاسبرسكي لاب ثغرة "يوم-الصفر". في شهر فبراير اكتشف خبراء كاسبرسكي لاب CVE-2014-0497 وهي ثغرة "يوم-الصفر" أخرى في Adobe Flash Player، التي تسمج للمهاجمين سرقة مستخدم الحاسوب.
نظام الكشف التجريبي الفرعي
نظام الكشف التجريبي الفرعي عبارة عن جزء من محرك مكافحة الفيروسات المستخدم في منتجات كاسبرسكي لاب المتعددة للمستخدمين في المنازل والمؤسسات، مثل Kaspersky Anti-Virus، Kaspersky Internet Security، Kaspersky Endpoint Security for Business. على غرار أي حل مكافح للفيروسات يستخدم هذا النظام قاعدة بيانات التواقيع للكشف عن البرمجيات الخبيثة. في حين أن تقنية مكافحة الفيروسات عادة ما تتطلب توقيعا لكل جزء فردي من البرنامج الخبيث، بغض النظر عن مدى اتصالهم ببعضهم، بإمكان الكشف التجريبي أن يشمل جميع أنواع البرمجيات الخبيثة. ويتم ذلك باستخدام التواقيع التي لا تكشف عن مقاطع فردية من البرمجيات الخبيثة فحسب، بل ومجموعة كاملة من البرمجيات الخبيثة، تصنف وفقا لقائمة من الخصائص المميزة. وقد أضيفت التواقيع التي تحدد سلوك ثغرة "يوم-الصفر" الجديدة في Adobe Flash إلى قاعدة بيانات كاسبرسكي لاب منذ أوائل يناير هذا العام.
كما أنه خلال اختبار خاص أجرى من قبل خبراء كاسبرسكي لاب تبين أن البرمجيات المستغلة التي تستغل ثغرة CVE-2014-0515، اكتشفت بواسطة تقنية منع استغلال الثغرات التلقائي من كاسبرسكي لاب – وهي أداة فعالة للكشف عن التهديدات غير المعروفة.
في نوفمبر 2013، نجحت هذه التقنية في تعطيل الهجمات باستخدام ثغرة "يوم الصفر" في برامج Microsoft Office. وفي أواخر 2012 نجحت أيضا في تعطيل عدد من المكونات الخبيثة التي تنتمي إلى حملة Red October، الحملة التجسسية الالكترونية التي جرت على نطاق واسع واكتشفت من قبل خبراء كاسبرسكي لاب في يناير 2013.
