آسیب پذیری SymStealer CVE-2022-3656 که به تازگی توسط تیم Imperva Red افشا شده است نشان میدهد این خطر بیش از 2.5 میلیارد کاربر مرورگرهای مبتنی بر کروم و گوگل کروم را تحت تاثیر قرار می دهد.
گزارشها حاکی از آن است که فایلهای حساس، از جمله اطلاعات کاربری ارائهدهنده ابر و کیف پولهای رمزنگاری، ممکن است به دلیل این نقص به سرقت رفته باشند. کروم دارای سهم بازار 65.52 درصدی است که آن را محبوب ترین مرورگر می کند. Chromium، نوع منبع باز کروم، پایه و اساس دو مرورگر برتر دیگر، Edge و Opera است که سهم بازار Chromium را به بیش از ۷۰ درصد افزایش میدهد.
جزئیات آسیب پذیری SymStealer
محققان Imperva نام SymStealer را به این باگ دادند. مشکل زمانی ایجاد می شود که یک مهاجم از سیستم فایل برای دسترسی به فایل های غیرمجاز و دور زدن محدودیت های برنامه استفاده می کند.
تجزیه و تحلیل Imperva نشان داد که وقتی کاربر یک پوشه را مستقیماً روی یک عنصر ورودی فایل میکشد و رها میکند، مرورگر به صورت بازگشتی همه پیوندهای نمادین را بدون نمایش اخطار حل میکند.
"در طول آزمایش، ما متوجه شدیم که وقتی یک فایل یا پوشه را روی ورودی فایل رها می کنید، به طور متفاوتی مدیریت می شود. پیوندهای نمادین پردازش می شوند، به صورت بازگشتی حل می شوند و هیچ اخطار یا تأیید اضافی برای کاربر وجود ندارد، تیم Imperva Red .
نوع فایلی که به یک فایل یا دایرکتوری دیگر اشاره می کند، «پیوند نمادین» نامیده می شود و همیشه به عنوان پیوند نمادین شناخته می شود. با انجام این کار، سیستم عامل میتواند فایل یا دایرکتوری پیوند شده را طوری مدیریت کند که انگار واقعاً همان جایی است که پیوند نمادین وجود دارد.
میانبرها، مسیریابی مجدد مسیرهای فایل، و سازماندهی فایل انعطاف پذیرتر، همگی با استفاده از این امکان انجام می شوند.
درخواست از کاربر برای دانلود کلیدهای "بازیابی" خود می تواند منجر به فریب وب سایت برای ایجاد یک کیف پول جدید شود.
در واقع، این کلیدها یک فایل فشرده با یک پیوند نمادین به یک فایل یا پوشه حساس در رایانه کاربر هستند، مانند اعتبار ارائه دهنده ابر.
پس از اینکه قربانی از حالت فشرده خارج کرد و کلیدهای "بازیابی" را در وب سایت بارگذاری کرد، این پیوند فعال می شود و مهاجم به فایل حساس دسترسی خواهد داشت.
ممکن است وبسایت، معتبر به نظر برسد، و فرآیند دریافت و آپلود کلیدهای «بازیابی» میتواند منظم به نظر برسد، بنابراین کاربر حتی نمیتواند از اشتباه بودن آن آگاه باشد.
مشتریان بسیاری از خدمات آنلاین، از جمله کیف پول های رمزنگاری، برای دسترسی به حساب های خود، باید کلیدهای «بازیابی» را دانلود کنند.
مهاجم با ارائه یک فایل فشرده حاوی یک پیوند نمادین به جای کلیدهای بازیابی واقعی، از این روش معمول استفاده می کند. هنگامی که کاربر فایل را از حالت فشرده خارج می کند و آپلود می کند، سیملینک پردازش می شود و به مهاجم اجازه می دهد به فایل های حساس در رایانه کاربر دسترسی پیدا کند.
اندازه عنصر ورودی فایل توسط محققان Imperva با استفاده از CSS تغییر داده شد تا فایل بدون توجه به جایی که پوشه در صفحه ریخته شده است آپلود شود.
کلمه پایانی
هکرها اغلب از نقصهای نرمافزاری استفاده میکنند، مانند نقصی که اخیراً به صورت عمومی فاش شده است، تا به کیف پولهای ارزهای دیجیتال دسترسی پیدا کنند و پولی که در آنها وجود دارد را سرقت کنند.
اگر میخواهید داراییهای ارز دیجیتال خود را ایمن کنید، مهم است که نرمافزار خود را بهروز نگه دارید و دانلود فایلها یا کلیک کردن روی پیوندها از منابع غیرمجاز را متوقف کنید.
کیف پول سختافزاری یکی دیگر از گزینههای هوشمندانه برای ذخیره ارز دیجیتال شماست، زیرا به اینترنت متصل نیست و در نتیجه کمتر در معرض حملات هک قرار میگیرد.
برای ایجاد رمزهای عبور ایمن و منحصر به فرد برای حساب های رمزنگاری خود، محققان توصیه می کنند از یک مدیر رمز عبور استفاده کنید و همچنین فعال کردن احراز هویت دو مرحله ای ضروری است.
