بررسی حملات Content-Type و جلوگیری از آن

همانطور که میدونید شبکه ها با استفاده از فایروال ها ، کامپیوتر هایی که با آن ها کار میکنید با استفاده از آنتی ویروس ها و همچنین Mail Server ها از طریق محدود کردن فایل های مخرب اجرایی  از خود محافظت میکنند. نفوذگران در مواجهه با این محافظت ها روزافزون در حال تلاش به منظور بهره برداری / Exploit برنامه های سمت-کاربر مانند Adobe Acrobat و Microsoft Office هستند. اگر نفوذگر بتواند فایل مخرب خود را از طریق یک Email بفرستند ، در محیط شبکه توسط فایروال Block نخواهد شد ، در محیط کاری و کامپیوتر شخصی نیز ، با مبهم سازی کد آنتی ویروس آن را شناسایی نمیکند، در Mail Server هیچگونه محدودیتی برای فرستادن به قربانی وجود ندارد و در آخر قربانی نیز ، با استفاده از تکنیک های مهندسی اجتماعی اقدام به باز کردن فایل آلوده ارسالی میکند.

در این مطلب ما به بررسی موارد زیر میپردازیم:

  • حملات Content-Type چگونه عمل میکنند؟
  • امروزه چه فرمت هایی قابل بهره برداری هستند؟
  • تست این حملات در محیط آزمایشگاه
  • چگونه دربرابر حملات Content-Type از خودمان محافظت کنیم؟

حملات Content-Type چگونه عمل میکنند؟

نرم افزار های Adobe Reader و Microsoft Office از صد ها خط برای اجرای پروسه یه محتوا ساده استفاده میکنند. نفوذگران در تلاشند با پیدا کردن نقصی در کد ، اقدام به اجرای برنامه مخرب خود در درون حافظه بکنند در نتیجه کد های مخرب آن ها بر روی کامپیوتر قربانی پس از اجرای فایل PDF یا DOC اجرا میشود. این فایل های مخرب معمولا از طریق پیوست ایمیل به قربانی فرستاده میشود. قربانی ها اغلب نمیتوانند تشخیص دهند که ممکن است مورد حمله قرار گیرند . این امر به علت استفاده نفوذگران از روش های مهندسی اجتماعی است که قربانی را به منظور اجرای فایل سالم ترغیب میکند سپس بهره برداری از آسیب پذیری انجام میشود و در نهایت فایل سالم اصلی بدون مشکلی باز میشود.

در تصویر زیر چگونگی یک حمله Content-Type را بررسی کردیم:

content-type-attacks-1

اخیرا ، حملات Content-Type به منظور نصب برنامه تروجان به منظور کنترل هر چیزی که در سیستم قربانی هست استفاده میشود.

تصویر زیر یک نمای کلی از پروسه این حملات را نشان میدهد:

content-type-attacks-2

امروزه چه فرمت هایی قابل بهره برداری هستند؟

نفوذگران به هر برنامه سمت کاربری که در کامپیوتر قربانی هایشان استفاده شود ، حمله میکنند. اگر آن ها بتوانند از ترفندی به منظور مجاب کردن قربانی برای باز کردن فایلی استفاده کنند ، میتوانند با یک آسیب پذیری قابل بهره برداری در آن نرم افزار اقدام به نفوذ کنند. معمولا تاکنون بیشترین حملات Content-type برای فایل هایی با فرمت های DOC,XLS,PPT,PDF بوده است.

در تصویر زیر میتوانید نرم افزار های مورد هدف نفوذگران در سال ۲۰۰۸ را مشاهده کنید:

content-type-attacks-3

تست این حملات در محیط آزمایشگاه

ابزار Metasploit ( به زودی دوره آموزشی رایگانی درباره این ابزار در سایت منتشر خواهد شد ) میتواند اقدام به بهره براری از تعداد زیادی  آسیب پذیری های Content-Type را انجام دهد. نمونه ای از این آسیب پذیری ها را میتوانید مشاهده کنید:

  • CVE-2007-5659_Collab.collectEmailInfo() adobe_collectemailinfo.rb
  • CVE-2008-2992_util.printf() adobe_utilprintf.rb
  • CVE-2009-0658_JBIG2Decode adobe_jbig2decode.rb
  • CVE-2009-0927_Collab.getIcon() adobe_geticon.rb
  • CVE-2009-2994_CLODProgressiveMeshDeclaration adobe_u3d_meshdecl.rb
  • CVE-2009-3459_FlateDecode Stream Predictor adobe_flatedecode_ predictor02.rb
  • CVE-2009-4324_Doc.media.newPlayer adobe_media_newplayer.rb

 

چگونه دربرابر حملات Content-Type از خودمان محافظت کنیم؟

شما با انجام چند کار ساده میتواند از خود دربرابر این حملات محافظت کنید

انجام تمامی بروزرسانی های امنیتی

غیر فعال کردن Javascript در Adobe Reader

برای غیرفعال کردن Javascript در نرم افزار Adobe Reader ابتدا به منو Edit و سپس  Preferences را انتخاب کنید. سپس در قسمت Javascript گزینه  Enable Acrobat JavaScript option را غیر فعال و سپس تایید کنید.

فعال کردن DEP برای Microsoft Office و Adobe Reader

  • مکانیزم DEP بر روی پلت فرم های زیر غیر فعال است :
  • All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7
  • Acrobat 9.2 running on Windows Vista SP1 or Windows 7
  • Acrobat and Adobe Reader 9.2 running on Windows XP SP3
  • Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7

Microsoft یک “Fix It” به منظور فعال سازی یا غیر فعال سازی DEP منتشر کرده است در صورتی که مکانیزم DEP بر روی Platform شما غیر فعال هست از این لینک به منظور دانلود و فعال سازی این مکانیزم استفاده کنید:

 

ارسال نظر

ایمیل شما منتشر نخواهد شد. پر کردن ورودی ها الزامی است. *

*

2 − یک =