مقابله با باگ zero-dayیکی از اصطلاحات حفره‌های امنیتی، آسیب پذیری روز صفر یا zero-day می‌باشد. در واقع این نوع آسیب‌پذیری، روشی از حمله یا نفوذ از طریق یکی از حفره‌های موجود در نرم‌افزارها یا برنامه‌های کاربردی می‌باشد که از دید طراحان و توسعه‌دهندگان آن مخفی مانده است. مهاجمان بدون اعلام به شرکت سازنده نرم افزار و پیش از شناسایی این آسیب‌پذیری و مشکل امنیتی توسط برنامه نویسان، آن را کشف کرده و برای حمله و یا نفوذ به سیستم‌های کاربران از آن استفاده می‌کنند و یا روش های استفاده از این حفره (poc , exploit) توسط نفوذگران در سطح عمومی منتشر می شود.


 
به این خاطر به آن آسیب پذیری روز صفرم می‌گویند زیرا یک روز قبل از دانستن حفره توسط برنامه‌نویسان و توسعه‌دهندگان، هکرها از آن باخبر شده و از آن سوء استفاده می‌کنند. یعنی برنامه‌نویسان هیچ فرصتی برای ارسال تعمیر و ابزار اصلاحی نمی‌یابند!
 
مقابله با خطرات ۰day
این روزها انتشار poc های ۰day  تبدیل به یک روند مشخص در دنیای امنیت شده است .
در واقع پس از پیدا شدن مشکل امنیتی شخص پیدا کننده آن می بایست بر اساس روند حرفه ای گزارشی را از مشکل یافت شده به شرکت صاحب نرم افزار ارائه کند و منتظر تماس های بعدی و هماهنگی های لازم بماند تا شرکت تولید کننده نرم افزار وقت بررسی بیشتر و اصلاح نرم افزار خود را پیدا کند .
 
در مراحل بعد شرکت تولید کننده نرم افزار دست به انتشار یک بسته اصلاحیه می زند که امروزه با نام Patch یا update معروف گردیده است . این نرم افزار کوچک که توسط شرکت تولید کننده نرم افزار تولید شده است به اصلاح مشکل گزارش شده کمک می کند .  
اما اگر در این بین شخصی بدون هماهنگی های قبلی دست به انتشار اطلاعات و چگونگی استفاده از نقاط ضعف یک نرم افزار عمومی را بزند . شرکت تولید کننده نرم افزار نیاز به یک زمان حداقل دو هفته ای برای تولید اصلاحیه را دارد . و در این زمان تمام سیستم هایی که  از نرم افزار مورد نظر استفاده می کنند اسیب پذیر می باشند و راهی برای نفوذ به آنها باز گذاشته می شود .
 
بیشترین میزان انتشار ۰day ها مربوط به نرم افزار هایی معرفی مانند,Adobe acrobat , adobe flash palyer , microsoft office می باشند . با روند تغییر حملات به سمت client side یا همان چیزی که کاربران به صورت روزانه به ان سر کار دارند باعث شده تا برای انتشار بد افزارها رقابتی سنگین در بازار سیاه نفوذگران شکل گیرد در حال حاظر ۰day  بسته نرم افزاری microsoft office هزاران دلار در بازار سیاه معامله می شوند .
 
کاربرد استفاده از ۰day چگونه است ؟
بیشتر ۰day ها  به سه صورت اصلی یافت می شوند :
 
۱- انتشار ۰day در بازار سیاه و استفاده ان به وسیله افراد سود جو .
در این روش نفوذگران و خرابکاران اینترنتی پس از خرید این نقاط آسیب پذیری قادر هستند تا کامپیوتر های بسیاری را به ویروس ها و بد افزار ها  (spyware,Malware ها) آلوده کنند . پس از آلوده شدن هزاران کامپیوتر گنگهای خرابکار اینترنتی کنترل هزاران کامپیوتر را بدست می گیرند و قادرند از انها در حملات DDOS یا تولید spam (نامه های تبلیغاتی)  استفاده کنند . حتی در برخی موارد با بدست آوردن اطلاعات کاربران دست به دزدی از حساب افراد می زنند(مانند بد افزار zeus) . در واقع هدف اصلی استفاده این گروه ها از ۰day ها بدست آوردن پول می باشد .
 
این دسته از ۰day ها معمولا در نرم افزارهای که در برنامه تحت وب کاربرد دارند بیشتر یافت می شوند و مورد علاقه تبهکاران انلاین می باشند. از جمله این مشکلات امنیتی می توان به برنامه هایی مانند . Microsoft Office , Adobe flash player , Adobe air ,Microsoft internet explorer , FireFox , Adobe acrobar reader , Java virtual machine اشاره کرد . امروزه در بیشتر کامپیوتر های متصل به اینترنت که جهت وبگردی و کارهای روزمره توسط کاربران مورد استفاده قرار می گیرند حداقل یکی از این برنامه ها موجود می باشند . پس خرید یک ۰day در این نرم افزار ها ،فرصتی طلایی برای تبه کاران اینترنتی محسوب می شود تا در کمترین زمان ممکن سیستم های بیشتری را به ویروس ها آلوده کنند و پول بیشتری به دست آورند .
 
۲- استفاده از ۰day ها به صورت رسمی برای حملات Penetration test یا Targeted attack .
 امروزه با گسترش بازار ۰day ها می توان بسته های نرم افرای که توسط شرکت های امنیتی تولید شده اند را پیدا کرد که در خود چندین ضعف امنیتی به صورت ۰day را جای داده اند .بیشتر این ۰day ها در سرویس های تحت شبکه مانند mail server  ها یا سرویس های دیگر که در شبکه مورد استفاده قرار می گیرند  در این بسته ها موجود می باشند . سرویس هایی مانند بانک های اطلاعاتی mssql , oracle یا حتی سریس دهنده های وب مانند iis یا apache .
 
متخصصین امنیت با پرداخت هزینه های بالا و به صورت رسمی این ۰day ها را خریداری کرده و در انجام پروژهای تست نفوذپذیری (Penetration test) از آنها استفاده می کنند .
از معروف ترین پکیج های مورد استفاده این دسته می توان به بسته هایی اشاره کرد به بر اساس نرم افزار canavas کار می کنند . canavas یک فریم ورک ازمون تست نفوذپذیری می باشد که مانند Metasploit کار می کند .
از نام دار ترین بسته های ۰day  می توان به Vulndisco،DSquare's D2 Exploitation Pack ،Argeniss Ultimate 0day Exploits اشاره کرد که همگی تحت فریم ورک canavas مورد استفاده قرار می گیرند .
 
۳- در موارد بسیار معدودی محققان امنیت جهت بدست آوردن کردیت یا از روی بی تجربگی دست به انتشار یک ۰day می زنند .

 


در همین راستا مایکروسافت به تازگی پچ جدیدی را برای مقابله با باگ های اینترنت اکسپلورر منتشر نموده است . مایکروسافت اعلام کرده است کسانی که آپدیت اتوماتیک آنها فعال است لازم نیست هیچ اقدامی انجام دهند . همانطور که می دانید مایکروسافت چندی پیش ، به روزرسانی ویندوز  ۱۲ ساله ، xp را برای همیشه متوقف نمود . اما اعلام نموده است کسانی که به روزرسانی ویندوز xpشان فعال است نیز این پچ را به صورت خودکار دریافت خواهند نمود .

این غول کامپیوتری اعلام نموده است کسانی که با دسترسی administrator با اینترنت اکسپلورر در وب کاوش می کنند ، نسبت به کسانی که دسترسی user دارند ، بیشتر در معرض خطر هستند . این باگ ورژن های ۶،۷،۸،۹،۱۰،۱۱(IE6,IE7,IE8,IE9,IE10,IE11) اینترنت اکسپلورر را تحت تاثیر قرارداده است .

همانطور که گفته شد ، اگر به روز رسانی اتوماتیک شما فعال است احتیاج به انجام هیچ کاری نیست ! اما اگر فعال نیست ، شما می توانید به روزرسانی اتوماتیک خود را فعال نمایید تا پچ امنیتی مایکروسافت بصورت اتوماتیک فعال شود . اما اگر می خواهید این پچ ها را بصورت دستی دانلود کنید ، می توانید با توجه به نسخه اینترنت اکسپلورر خود ، پچ را از جدول زیر دریافت نمایید .

 

Operating System Component Maximum Security Impact Aggregate Severity Rating Updates Replaced
Internet Explorer 6
Windows XP Service Pack 3 Internet Explorer 6(2964358) Remote Code Execution Critical None
Windows XP Professional x64 Edition Service Pack 2 Internet Explorer 6(2964358) Remote Code Execution Critical None
Windows Server 2003 Service Pack 2 Internet Explorer 6(2964358) Remote Code Execution Moderate None
Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 6(2964358) Remote Code Execution Moderate None
Windows Server 2003 with SP2 for Itanium-based Systems Internet Explorer 6(2964358) Remote Code Execution Moderate None
Internet Explorer 7
Windows XP Service Pack 3 Internet Explorer 7(2964358) Remote Code Execution Critical None
Windows XP Professional x64 Edition Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Critical None
Windows Server 2003 Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Moderate None
Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Moderate None
Windows Server 2003 with SP2 for Itanium-based Systems Internet Explorer 7(2964358) Remote Code Execution Moderate None
Windows Vista Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Critical None
Windows Vista x64 Edition Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Critical None
Windows Server 2008 for 32-bit Systems Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Moderate None
Windows Server 2008 for x64-based Systems Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Moderate None
Windows Server 2008 for Itanium-based Systems Service Pack 2 Internet Explorer 7(2964358) Remote Code Execution Moderate None
Internet Explorer 8
Windows XP Service Pack 3 Internet Explorer 8(2964358) Remote Code Execution Critical None
Windows XP Professional x64 Edition Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Critical None
Windows Server 2003 Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Moderate None
Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Moderate None
Windows Vista Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Critical None
Windows Vista x64 Edition Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Critical None
Windows Server 2008 for 32-bit Systems Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Moderate None
Windows Server 2008 for x64-based Systems Service Pack 2 Internet Explorer 8(2964358) Remote Code Execution Moderate None
Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 8(2964358) Remote Code Execution Critical None
Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 8(2964358) Remote Code Execution Critical None
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 8(2964358) Remote Code Execution Moderate None
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 Internet Explorer 8(2964358) Remote Code Execution Moderate None
Internet Explorer 9
Windows Vista Service Pack 2 Internet Explorer 9(2964358) Remote Code Execution Critical None
Windows Vista x64 Edition Service Pack 2 Internet Explorer 9(2964358) Remote Code Execution Critical None
Windows Server 2008 for 32-bit Systems Service Pack 2 Internet Explorer 9(2964358) Remote Code Execution Moderate None
Windows Server 2008 for x64-based Systems Service Pack 2 Internet Explorer 9(2964358) Remote Code Execution Moderate None
Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 9(2964358) Remote Code Execution Critical None
Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 9(2964358) Remote Code Execution Critical None
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 9(2964358) Remote Code Execution Moderate None
Internet Explorer 10
Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 10(2964358) Remote Code Execution Critical None
Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 10(2964358) Remote Code Execution Critical None
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 10(2964358) Remote Code Execution Moderate None
Windows 8 for 32-bit Systems Internet Explorer 10(2964358) Remote Code Execution Critical None
Windows 8 for x64-based Systems Internet Explorer 10(2964358) Remote Code Execution Critical None
Windows Server 2012 Internet Explorer 10(2964358) Remote Code Execution Moderate None
Windows RT Internet Explorer 10[1](2964358) Remote Code Execution Critical None
Internet Explorer 11
Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 11[2] (۲۹۶۴۳۵۸) Remote Code Execution Critical None
Windows 7 for 32-bit Systems Service Pack 1 Internet Explorer 11(2964444) Remote Code Execution Critical None
Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 11[2] (۲۹۶۴۳۵۸) Remote Code Execution Critical None
Windows 7 for x64-based Systems Service Pack 1 Internet Explorer 11(2964444) Remote Code Execution Critical None
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 11[2] (۲۹۶۴۳۵۸) Remote Code Execution Moderate None
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Internet Explorer 11(2964444) Remote Code Execution Moderate None
Windows 8.1 for 32-bit Systems Internet Explorer 11[3] (۲۹۶۴۳۵۸) Remote Code Execution Critical None
Windows 8.1 for 32-bit Systems Internet Explorer 11(2964444) Remote Code Execution Critical None
Windows 8.1 for x64-based Systems Internet Explorer 11[3] (۲۹۶۴۳۵۸) Remote Code Execution Critical None
Windows 8.1 for x64-based Systems Internet Explorer 11(2964444) Remote Code Execution Critical None
Windows Server 2012 R2 Internet Explorer 11[3] (۲۹۶۴۳۵۸) Remote Code Execution Moderate None
Windows Server 2012 R2 Internet Explorer 11(2964444) Remote Code Execution Moderate None
Windows RT 8.1 Internet Explorer 11[1][3] (۲۹۶۴۳۵۸) Remote Code Execution Critical None
Windows RT 8.1 Internet Explorer 11[1](2964444) Remote Code Execution Critical None
 

 

ترجمه آزاد از مایکروسافت

منابع : شبکه آموزش مجازی www.vln.ir

http://www.idsco.ir/

http://www.worldit.ir/