استمع إلى المقال

قال باحثون أمنيون في شركة “أفاست” (Avast) للأمان الرقمي إن هجومًا إلكترونيًا استغل مؤخرًا ثغرة في متصفح جوجل كروم لم تكن معروفة من قبل وثغرتا “يوم الصفر” في حملات استهدفت صحفيين في الشرق الأوسط وأهدافًا أخرى سرًا ببرامج تجسس متطورة.

ثغرة ترفض الإغلاق كليًا

تنبع الثغرة الأمنية، التي أُطلق عليها اسم “CVE-2022-2294” من عيوب تلف الذاكرة في “اتصالات الوقت الفعلي عبر الإنترنت” (Web Real-Time Communications) ويعرف اختصارًا بـ (WebRTC)، وهو مشروع مفتوح المصدر يوفر واجهات برمجية قائمة على لغة “JavaScript” لتمكين الاتصالات الصوتية والنصية والفيديو في الوقت الفعلي بين متصفحات الويب و الأجهزة. 

وقامت جوجل بإصلاح الخلل في 4 يوليو/حزيران بعد أن أبلغ باحثون من شركة الأمان “أفاسات” الشركة بشكل خاص أنه يتم استغلالها في هجمات “حفرة الري”؛ والتي تصيب مواقع الويب المستهدفة ببرامج ضارة على أمل إصابة الزوار المتكررين. كما قامت كلاً من مايكروسوفت وآبل منذ ذلك الحين بتصحيح نفس العيب الموجود في “WebRTC” في متصفحي “إيدج” و”سفاري”، على التوالي.

لكن قالت “أفاست” يوم الخميس الماضي إنها كشفت عن عدة حملات هجومية، كل منها تستغل الثغرة بطريقتها الخاصة لإيقاع مستخدمي “كروم” في لبنان وتركيا واليمن وفلسطين. وكانت المواقع المستهدفة بحفر الري انتقائية للغاية في اختيار الزوار المستهدفين بالإصابة. وبمجرد أن نجحت هذه المواقع في استغلال الثغرة الأمنية، استخدمت وصولها لتثبيت “DevilsTongue” أو (لسان الشيطان)، وهو الاسم الذي أعطته مايكروسوفت العام الماضي للبرامج الضارة المتقدمة التي باعتها شركة إسرائيلة تدعى “كانديرو” (Candiru).

كتب جان فويتشيك، الباحث في “أفاست”: “في لبنان، يبدو أن المهاجمين قد اخترقوا موقعًا إلكترونيًا يستخدمه موظفو وكالة أنباء. ولا يمكننا أن نجزم بما يريده المهاجمون وراء ذلك، ولكن غالبًا ما يكون السبب وراء ملاحقة المهاجمين للصحفيين هو التجسس عليهم وعلى القصص التي يعملون عليها مباشرةً، أو الوصول إلى مصادرهم وجمع المعلومات التي تنطوي على مساومة وبيانات حساسة شاركوها مع الصحافة”.

وقال فويتشيك إن كانديرو كانت متخفيةً بعد الكشف الذي تم نشره في يوليو/حزيران الماضي بواسطة مايكروسوفت ومختبر “سيتيزن لاب” (CitizenLab) الأمني الكندي. وقال الباحث إن الشركة عادت من الظل في مارس/آذار بمجموعة أدوات محدّثة. إذ أن موقع حفرة الري، الذي لم تحدده “أفاست”، لم يكن حريصًا فقط في اختيار زوار معينين للإصابة ولكن أيضًا في منع اكتشاف نقاط الضعف الكبيرة في ثغرة يوم الصفر من قبل الباحثين أو المتسللين المنافسين المحتملين.

كتب فويتشيك:

من المثير للاهتمام أن موقع الويب الذي تم اختراقه يحتوي على آثار لهجمات “البرمجيات النصية عبر الموقع” (XSS) مستمرة، مع وجود صفحات تحتوي على إشارات لتنبيه تابع جافا سكريبت جنبًا إلى جنب مع كلمات رئيسية مثل “اختبار”. نفترض أن هذه هي الطريقة التي اختبر بها المهاجمون ثغرة XSS، قبل استغلالها في النهاية بشكل حقيقي عن طريق حقن جزء من التعليمات البرمجية التي تقوم بتحميل كود جافا سكريبت ضار من نطاق (domain) يسيطر عليه المهاجمون. كان ذلك الكود المحقون مسؤولاً بعد ذلك عن توجيه الضحايا المقصودين (والضحايا المقصودين فقط) إلى خادم الاستغلال، من خلال عدة نطاقات أخرى يتحكم فيها المهاجم.

وبمجرد وصول الضحية إلى خادم الاستغلال، تقوم “كانديرو” [الشركة المطورة للبرمجية] بجمع المزيد من المعلومات. يتم جمع ملف تعريف لمتصفح الضحية -يتكون من حوالي 50 نقطة بيانات- وإرساله إلى المهاجمين. وتتضمن المعلومات التي تم جمعها لغة الضحية والمنطقة الزمنية ومعلومات الشاشة ونوع الجهاز والمكونات الإضافية للمتصفح والمراجع وذاكرة الجهاز ووظيفة ملفات تعريف الارتباط والمزيد. نفترض أن هذا قد تم لزيادة حماية الثغرة والتأكد من وصولها إلى الضحايا المستهدفين فقط. وإذا كانت البيانات التي تم جمعها تفي بخادم الاستغلال، فإنه يستخدم RSA-2048 لتبادل مفتاح التشفير مع الضحية. يُستخدم مفتاح التشفير هذا مع AES-256-CBC لإنشاء قناة مشفرة يتم من خلالها تمرير ثغرات يوم الصفر إلى الضحية. وتم إعداد هذه القناة المشفرة فوق بروتوكول “أمان طبقة النقل” (TLS)، لإخفاء الثغرات بشكل فعال حتى من أولئك الذين سيقومون بفك تشفير جلسة البروتوكول من أجل التقاط حركة مرور HTTP عادية.

على الرغم من الجهود المبذولة للحفاظ على سرية ثغرة “CVE-2022-2294″، تمكنت “أفاست” من استعادة كود الهجوم، الذي استغل تدفق الكومة في “WebRTC” لتنفيذ كود قشرة ضار داخل عملية عرض. سمح هذا الاسترداد لـ “أفاست” بتحديد الثغرة الأمنية وإبلاغ المطورين بها حتى يمكن إصلاحها. ولم تتمكن شركة الأمان من الحصول على ثغرة يوم الصفر المنفصلة التي كانت مطلوبة حتى تتمكن الثغرة الأولى من الهروب من وضع الحماية في كروم. هذا يعني أن ثغرة يوم الصفر الثانية هذه لا زالت طليقة وفعالة في مكانٍ ما.

جان فويتشيك

“لسان الشيطان” السامّ

بمجرد تثبيت برنامج “لسان الشيطان”، حاول رفع امتيازات النظام الخاصة به عن طريق تثبيت برنامج تشغيل ويندوز يحتوي على ثغرة أمنية أخرى غير مصحح؛ ما رفع عدد ثغرات أيام الصفر المستغلة في هذه الحملة إلى ثلاثة على الأقل. وبمجرد تثبيت برنامج التشغيل المجهول الهوية، سيستغل “لسان الشيطان” الثغرة الأمنية للوصول إلى النواة، وهي الجزء الأكثر حساسية في أي نظام تشغيل. ويسمي باحثو الأمن هذه التقنية “BYOVD“، اختصارًا لـ “Bring Your Own Vulnerable Driver” وتعني “أحضر قرصك المعرّض للاختراق”. حيث يُسمح للبرامج الضارة بهزيمة دفاعات نظام التشغيل نظرًا لأن معظم الأقراص يمكنها الوصول تلقائيًا إلى نواة نظام التشغيل.

أبلغت “أفاست” الشركة المصنعة للقرص عن الخلل، ولكن لا يوجد ما يشير إلى إصدار التصحيح. وحتى الآن، لم يتم اكتشاف هذه الثغرة في القرص سوى من قبل “أفاست” و”ماكافي” (McAfee).

وجوب التحديث المستمر

نظرًا لأن كلاً من جوجل ومايكروسوفت قد قاما بتصحيح CVE-2022-2294 في أوائل يوليو/حزيران، فمن المحتمل أن يكون معظم مستخدمي كروم وإيدج محميين بالفعل. ومع ذلك، قامت شركة آبل أيضًا بإصلاح الثغرة الأمنية يوم الأربعاء الماضي، مما يعني أنه يجب على مستخدمي سفاري التأكد من تحديث متصفحاتهم.

يُنصح باستمرار متابعة صدور تحديثات جديدة للمتصفحات المذكورة وتحديثها على الفور في حال طُلب ذلك.

كتب فويتشيك: “على الرغم من عدم وجود طريقة لنا لمعرفة ما إذا كانت ثغرة WebRTC قد تم استغلالها من قبل مجموعات أخرى أم لا، إلا أن الاحتمال قائم. أحيانًا يتم اكتشاف ثغرات يوم الصفر بشكل مستقل من قبل مجموعات متعددة، وأحيانًا يبيع شخص ما نفس الثغرة الأمنية لمجموعات متعددة، وما إلى ذلك. ولكن حتى الآن، ليس لدينا ما يشير إلى أن هناك مجموعة أخرى تستغل نفس هذه الثغرة”.

كاتب المقال فراس دالاتي ينصح بقراءة ...

آبل تلاحق ثغرات “يوم الصفر” الأمنية على قدم وساق