هنگام باز کردن پرونده‌ها در مایکروسافت آفیس باید بسیار مراقب باشید.
هنگامی‌که جهان همچنان با تهدید ویژگی داخلی DDE «وصله نشده» مایکروسافت آفیس مواجه است، محققان یک موضوع جدی در مولفه‌ی دیگری از آفیس کشف کرده‌اند که می‌تواند به مهاجمان اجازه دهد تا بدافزار را از راه دور بر روی رایانه‌های هدف نصب نمایند.
این آسیب‌پذیری یک اشکال مربوط به حافظه است که در تمام نسخه‌های مایکروسافت آفیس منتشر شده در ۱۷ سال گذشته، از جمله مایکروسافت آفیس ۳۶۵، وجود داشته است و در برابر تمام نسخه‌های سامانه‌ی عامل ویندوز، از جمله آخرین به‌روزرسانی ویندوز ۱۰ کار می‌کند.
این آسیب‌پذیری که توسط محققان امنیتی Embedi کشف شده است، منجر به اجرای کد از راه دور می‌شود که به یک مهاجم تایید نشده اجازه می‌دهد تا پس از باز کردن یک سند مخرب و بدون نیاز به تعامل با کاربر، کد مخرب را بر روی رایانه‌ی هدف اجرا کند.
این آسیب‌پذیری که با شناسه‌ی CVE-۲۰۱۷-۱۱۸۸۲ ردیابی می‌شود، در EQNEDT۳۲.EXE، یک مولفه‌ی مایکروسافت آفیس وجود دارد که مسئول درج و ویرایش معادله‌های ریاضی (اشیای OLE) موجود اسناد می‌باشد.

با این حال، با توجه به عملیات نامناسب حافظه، این مولفه قادر به دسته‌بندی مناسب اشیاء در حافظه نبوده و خرابی آن به‌گونه‌ای است که مهاجم می‌تواند کد مخرب را اجرا کند.
۱۷ سال پیش، EQNEDT۳۲.EXE در مایکروسافت آفیس ۲۰۰۰ معرفی شد و به‌منظور اطمینان از اینکه نرم‌افزار با اسناد نسخه‌های قدیمی‌تر سازگار باقی می‌ماند، در تمام نسخه‌های منتشر شده پس از مایکروسافت آفیس ۲۰۰۷ نگه داشته شد.

کنترل کامل سامانه‌ی قربانی با این آسیب‌پذیری
برای بهره‌برداری از این آسیب‌پذیری، به باز کردن یک پرونده‌ی مخرب خاص ساخته شده با یک نسخه‌ی آسیب‌دیده از نرم‌افزار مایکروسافت آفیس یا مایکروسافت وردپَد نیاز می‌باشد.
این آسیب‌پذیری می‌تواند برای کنترل کامل یک سامانه هنگام ترکیب با بهره‌برداری از افزایش امتیازات هسته‌ ویندوز (با شناسه‌ی CVE-۲۰۱۷-۱۱۸۴۷)، مورد بهره‌برداری قرار بگیرد.
محققان Embedi درحالی‌که دامنه‌ی این آسیب‌پذیری را توضیح می‌دهند، چندین سناریوی حمله را نیز پیشنهاد کرده‌اند:
«با قرار دادن چندین معادله‌ی ریاضی که آسیب‌پذیری توصیف شده را مورد بهره‌برداری قرار می‌دهند، امکان اجرای یک توالی دلخواه از دستورات وجود دارد (به‌عنوان مثال، بارگیری یک پرونده‌ی دلخواه از اینترنت و اجرای آن).
یکی از ساده‌ترین راه‌های اجرای کد از راه دور، راه‌اندازی یک پرونده‌ی قابل اجرا از کارگزار WebDAV تحت کنترل یک مهاجم است.
با این وجود، مهاجم می‌تواند از آسیب‌پذیری توصیف شده برای اجرای دستوراتی خط فرمان ویندوز استفاده کند. چنین دستوراتی می‌تواند به‌عنوان بخشی از یک بهره‌برداری و راه‌اندازی WebClient به‌کار رود.»

حفاظت در برابر آسیب‎پذیری مایکروسافت آفیس
مایکروسافت با انتشار وصله‌ی این ماه، با تغییر نحوه‌ی عملکرد نرم‌افزار آسیب‌دیده‌ی کنترل اشیاء در حافظه، این آسیب‌پذیری را رفع کرده است. بنابراین، به کاربران به ‌شدت توصیه می‌شود تا برای جلوگیری از کنترل رایانه‌های خود توسط نفوذگران و مجرمان سایبری، در اسرع وقت وصله‌های امنیتی ماه نوامبر را اعمال کنند.
از آنجایی که این مولفه دارای تعدادی از مسائل امنیتی است که می‌تواند به‌راحتی مورد بهره‌برداری قرار گیرد، غیرفعال کردن آن می‌تواند بهترین راه برای اطمینان از امنیت سامانه‌ی شما باشد.

 

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

آسیب‌پذیری ۱۷ ساله‌ی مایکروسافت آفیس به نفوذگر اجازه‌ی نصب بدافزار را بدون تعامل با کاربر می‌دهد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *