باز کردن یک فایل ساده MS Word می‌تواند منجر به در معرض خطر گرفتن سیستم شما شود.

روز صفر

محققان امنیتی در ارتباط با یک حمله جدیدِ در سطح اینترنت هشدار دادند. این حمله به‌صورت مخفیانه و حتی بر روی کامپیوترهای به‌روز شده، یک بدافزار نصب می‌کند که توسط آن از یک آسیب‌پذیری روز صفر وصله نشده در تمامی نسخه‌های آفیس بهره‌برداری می‌کند.

حمله روز صفر مایکروسافت آفیس، توسط محققانی از شرکت‌های امنیتی McAfee و FireEye کشف شد[۱]، که به‌سادگی توسط یک پست الکترونیک به همراه یک فایل Word ضمیمه شده که شامل یک OLE2link تله‌گذاری شده است، ارسال می‌شود.

هنگام باز کردن این فایل Word، کد بهره‎‌بردار مربوطه مورد بهره‌برداری قرار می‌گیرد و یک ارتباط با سرور از راه دور که توسط مهاجم کنترل می‌شود، برقرار می‌‎کند. سپس از این طریق یک فایل ابزاری مخرب یا HTA را دانلود کرده که در پشت یک فایل RTF مخفی شده است.

در مرحله بعد فایل HTA به‌صورت خودکار اجرا شده و سپس مهاجمان کدهای بعدی را به‌صورت کامل بر روی سیستم قربانی اجرا می‌کنند و دیگر payloadها را از خانواده بدافزارهای معروف دانلود کرده تا درنهایت کنترل سیستم قربانی را برعهده‌گرفته و درنهایت فایل Word آلوده بسته می‌شود.

این حمله روز صفر بر روی تمامی نسخه‌های ویندوز ازجمله ویندوز ۱۰ قابل‌اجراست.

بر طبق گفته محققان، این حمله روز صفر بسیار حیاتی است چراکه به مهاجمان این قدرت را می‌دهد تا بسیاری از محدودیت‌های بهره‌برداری را که توسط مایکروسافت راه‌اندازی شده‌اند، کنار گذاشته و برخلاف دیگر بهره‌‌بردارهای قدیمی Word در سطح اینترنت، نیاز به این ندارد که فرد قربانی گزینه Macro را فعال کند.

با توجه به این قابلیت‌ها، این حمله جدید کشف‌شده بر روی تمامی نسخه‌های ویندوز حتی بر روی ویندوز ۱۰ قابل‌اجراست که ادعا می‌شود ایمن‌ترین نسخه مایکروسافت ویندوز است.

علاوه بر این، این بهره‎‌بردار یک فایل Word تله گذاری شده را برای فرد قربانی نمایش می‌دهد تا هرگونه اثری از این حمله را از کاربر موردنظر مخفی نگه دارد.

محققان McAfee در گزارش منتشر شده در روز جمعه ۷ آوریل ۲۰۱۷ این‌گونه توضیح داده‌اند: “بهره‌بردارِ موفق، فایل Word تله گذاری شده را می‌بندد و یک فایل Word جعل شده برای نمایش دادن به قربانی ظاهر می‌شود. در پشت زمینه، این بدافزار به‌صورت مخفیانه بر روی سیستم قربانی در حال نصب شدن است. علت ریشه‌ای این آسیب‌پذیری روز صفر به Windows Object Linking و Embedding یا همان OLE مربوط است که یک ویژگی مهم در برنامه آفیس است.

بر طبق گفته این محققان، مایکروسافت از آسیب‌پذیری روز صفر از ماه ژانویه ۲۰۱۷ باخبر بوده است و این محققان پس از تشخیص حملات متعدد که از این آسیب‌پذیری استفاده می‌کردند، آن را به شرکت مایکروسافت گزارش داده بودند.

شرکت FireEye جزئیات این آسیب‌پذیری را یک روز پس‌ازاینکه شرکت McAfee اطلاعات مربوط به این آسیب‌پذیری را در اختیار عموم قرار گذاشت، منتشر کرد.

موعد انتشار به‌روزرسانی‌های بعدی امنیتی شرکت مایکروسافت در روز سه‌شنبه ۱۱ آوریل ۲۰۱۷ است و این امر بسیار غیرمحتمل است که این شرکت بتواند به‌موقع وصله مربوط به این آسیب‌پذیری را منتشر کند.

چگونه از خودتان در برابر این حمله محافظت کنید؟

ازآنجاکه این حمله بر روی سیستم‌های دارای آخرین به‌روزرسانی‌ها نیز کار می‌کند، به کاربران اکیداً توصیه می‌شود تا پیشنهاد‌هایی که در ادامه می‌آید را به‌منظور به حداقل رساندن این‌چنین حملاتی به‌کارگیرند:

  • هیچ‌گونه فایل مشکوک Word را که در ضمیمه یک پست الکترونیکی قرار دارد باز و یا دانلود نکنید، حتی اگر فرستنده را می‌شناسید و منتظر انتشار وصله موردنظر از سوی مایکروسافت باشید.
  • ازآنجاکه این حمله در هنگامی‌که فایل مخرب در حالت Office Protected View مشاهده شود کار نمی‌کند، به کاربران پیشنهاد می‌شود تا این ویژگی[۲] را به‌منظور مشاهده تمامی فایل‌های آفیس فعال کنند.
  • همیشه سیستم‌عامل و آنتی‌ویروس خود را به‌روزرسانی کنید.
  • به‌طور مرتب از فایل‌های ضروری خود بر روی یک هارد جداگانه پشتیبان تهیه کنید.
  • غیرفعال کردن گزینه Macro هیچ‌گونه محافظتی در برابر این حمله ایجاد نمی‌کند، اما همچنان به کاربران توصیه می‌شود این کار را انجام دهند تا نسبت به حملات دیگر در امان باشند.
  • همیشه مراقب پست‌های الکترونیک phishing و اسپم‌ها باشید و از کلیک کردن بر روی ضمیمه‌های مشکوک اکیداً خودداری نمایید.

 

منابع

[۱] https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html

[۲]https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

[۳] http://thehackernews.com/2017/04/microsoft-word-zero-day.html