‫ اخبار

فضای دیجیتال، که زمانی یادآور یک چمنزار آرام بود، به یک میدان نبرد تبدیل شده است که در آن مهاجمان و شرکت‌های امنیت سایبری دائما درحال رقابت و پیشی گرفتن از یکدیگر هستند.

با پیچیده‌تر شدن سیستم‌های دفاعی، مهاجمان نیز سازگار می‌شوند و از روش‌های فریبنده‌ی جدیدی برای دور زدن محصولات امنیتی و سوءاستفاده استفاده می‌کنند.

یکی از این تاکتیک‌ها، که اخیراً توسط Trellix Email Security کشف شده است، از بنیانِ امنیت یعنی ذخیره‌سازی (caching) بهره می‌برد تا به کاربران بی‌گمان آسیب برساند.

ابزارهای مختلف در جعبه ابزار یک مهاجم:

محدودیت جغرافیایی: محتوای مخرب در مناطق خاصی خود را بی‌خطر نشان می‌دهد و از شناسایی در جاهای دیگر فرار می‌کند.
دور زدن Captcha: مکانیسم‌های خودکار از Captchaها عبور می‌کنند و مانع از تجزیه و تحلیل محتوای مخرب URL می‌شوند.
فرار از محدودیت IP: IPهای لیست سیاه در مقابل بررسی پنهان می‌مانند تا محتوای مخرب آنها قابل شناسایی نباشد.
فیشینگ از طریق کد QR: کدهای QR مبهم از فیلترهای سنتی ایمیل امنیتی عبور می‌کنند و راه را برای حملات فیشینگ هموار می‌کنند.
مسموم کردن کش: شاهکار فریب

Trellix Email Security یک روش جدید دور زدن را کشف کرده است که از ذخیره‌سازی (caching) سوءاستفاده می‌کند، مکانیزمی که توسط محصولات امنیتی برای بهینه‌سازی عملکرد استفاده می‌شود.

ذخیره‌سازی شامل ذخیرهٔ موقت نتایج تجزیه و تحلیل URLها است. هنگام برخورد مجدد با همان URL، به‌جای تکرار تحلیل، از نتیجه‌ی کش‌شده استفاده می‌شود تا منابع ارزشمند ذخیره شوند.

این حمله‌ی خلاقانه در سه مرحله‌ی مجزا انجام می‌شود:

مرحله 1: طعمه‌ی فریبنده
حمله با ایمیلی حاوی یک URL ظاهراً بی‌خطر که به عنوان اقدام به عمل (CTA) ارائه می‌شود، اغلب به‌عنوان پیوندی به یک سند OneDrive پنهان می‌شود. این تاکتیک از اعتماد ذاتی مرتبط با دامنه مایکروسافت استفاده می‌کند.

مرحله 2: محتوای پنهان
با برخورد با URL CTA، موتور امنیتی آن را تجزیه و تحلیل می‌کند و متوجه پیوندی به یک وب‌سایت معتبر مانند Google یا Microsoft می‌شود. موتور آن را امن تشخیص داده و این حکم را در کش ذخیره می‌کند.

مرحله 3: جهش آفتاب‌پرست
پس از اینکه URL به‌عنوان امن کش شد، مهاجمان حمله را آغاز می‌کنند. آنها به‌شکل مخفیانه‌ای لینک ظاهراً بی‌خطر درون URL CTA را تغییر می‌دهند و آن را به محتوای مخرب واقعی هدایت می‌کنند.

با این حال، حکم «امن» کش‌شده باقی می‌ماند و به برخوردهای بعدی با URL CTA اجازه می‌دهد تا از تجزیه و تحلیل امنیتی عبور کنند و به صندوق ورودی گیرنده برسند.

درک این دستکاری پیچیده مکانیسم‌های ذخیره‌سازی برای پیشگیری مؤثر بسیار مهم است.

تهدیدی جهانی: فراتر از مرزها و صنایع

اطلاعات Trellix نشان می‌دهد که این حملات مسموم‌کننده‌ی کش موارد منزوی نیستند. آنها کاربران را در صنایع و مناطق مختلف هدف قرار داده‌اند، که نشان‌دهنده‌ی گستردگی این روش است.

پژوهشگران امنیتی موفق به دور زدن احراز هویت اثرانگشت Windows Hello در لپ‌تاپ‌های Dell، Lenovo  و Microsoft Surface Pro X  شدند

پژوهشگران امنیتی Blackwing Intelligence در تحقیقاتی که توسط Offensive Research و Security Engineering ‪(MORSE)‬  مایکروسافت برای ارزیابی امنیت سه حسگر اثرانگشت برتر تعبیه‌شده برای احراز هویت اثرانگشت Windows Hello حمایت مالی می‌شد، آسیب‌پذیری‌هایی را کشف کردند.

جسی دآگوانو و تیمو تراس، از Blackwing، حسگرهای اثرانگشت تعبیه‌شده ساخته‌شده توسط  ELAN، Synaptics  و Goodix را در  Microsoft Surface Pro X، Lenovo ThinkPad T14  و Dell Inspiron 15 هدف قراردادند.

تمام حسگرهای اثرانگشت آزمایش‌شده حسگرهای Match-on-Chip ‪(MoC)‬ با میکروپروسسور و حافظه خود بودند که اجازه می‌داد تطبیق اثرانگشت به‌طور ایمن درون تراشه انجام شود.
بااین‌حال، درحالی‌که حسگرهای MoC مانع از پخش مجدد داده‌های اثرانگشت ذخیره‌شده به میزبان برای تطبیق می‌شوند، آن‌ها ذاتاً از جعل ارتباط یک حسگر مخرب با میزبان جلوگیری نمی‌کنند. این می‌تواند به‌طور کاذب نشان‌دهنده تأیید هویت کاربر موفق یا پخش مجدد ترافیک مشاهده‌شده قبلی بین میزبان و حسگر باشد.
برای مقابله با حملاتی که از این ضعف‌ها سوءاستفاده می‌کنند، مایکروسافت پروتکل Secure Device Connection Protocol ‪(SDCP)‬  را توسعه داد که باید اطمینان حاصل می‌کرد که دستگاه اثرانگشت مورد اعتماد و سالم است و ورودی بین دستگاه اثرانگشت و میزبان در دستگاه‌های هدف محافظت می‌شود.
باوجوداین، محققان امنیتی با استفاده از حملات Man-in-the-middle ‪(MiTM)‬ در هر سه لپ‌تاپ، از احراز هویت Windows Hello  عبور کردند و از یک دستگاه Raspberry Pi 4 سفارشی با سیستم‌عامل لینوکس استفاده کردند.
در طول فرآیند، آن‌ها از مهندسی معکوس نرم‌افزار و سخت‌افزار استفاده کردند، نقص‌های پیاده‌سازی رمزنگاری را در پروتکل TLS سفارشی حسگر Synaptics شکستند و پروتکل‌های اختصاصی را رمزگشایی و دوباره پیاده کردند.

در لپ‌تاپ‌های Dell وLenovo، دور زدن تأیید هویت با برشمردن شناسه‌های معتبر و ثبت اثرانگشت مهاجم با استفاده از شناسه کاربر قانونی ویندوز (سنسور Synaptics به‌جای SDCP از پشته TLS سفارشی برای ایمن کردن ارتباط USB استفاده کرد) حاصل شد.

برای دستگاه Surface، که حسگر اثرانگشت ELAN آن هیچ محافظتی از SDCP نداشت، از ارتباط USB متن ساده استفاده کرد و هیچ احرازی نداشت، آن‌ها پس از قطع اتصال Type Cover حاوی حسگر، حسگر اثرانگشت را جعل کردند و پاسخ‌های ورود معتبر را از دستگاه جعل‌شده ارسال کردند.

پژوهشگران گفتند: «مایکروسافت کار خوبی در طراحی SDCP برای ایجاد یک کانال امن بین میزبان و دستگاه‌های بیومتریک انجام داد، اما متأسفانه به نظر می‌رسد تولیدکنندگان دستگاه برخی از اهداف را اشتباه درک می‌کنند».
"علاوه بر این، SDCP  فقط طیف بسیار محدودی از عملیات معمولی دستگاه را پوشش می‌دهد، درحالی‌که اکثر دستگاه‌ها دارای یک سطح حمله قابل‌توجه هستند که معمولاً توسط SDCP پوشش داده نمی‌شود."

Blackwing Intelligence  پس از کشف اینکه Secure Device Connection Protocol ‪(SDCP)‬ حتی در دو مورد از سه لپ‌تاپ هدف فعال نشده بود، توصیه می‌کند که فروشندگانی که راهکارهای احراز هویت بیومتریک تولید می‌کنند، اطمینان حاصل کنند که SDCP فعال است، زیرا در صورت فعال نبودن، به دفع حملات کمک نمی‌کند.

مایکروسافت سه سال پیش اعلام کرد که تعداد کاربرانی که با استفاده از Windows Hello به‌جای استفاده از رمز عبور وارد دستگاه‌های Windows 10 خود می‌شوند از 69.4 درصد در سال 2019 به 84.7 درصد در حال حاضر افزایش‌یافته است.