هدف قرار دادن کاربران ویندوز با اسناد مایکروسافت آفیس توسط حمله‌ی جدید روز صفر

مایکروسافت روز سه‌شنبه ۷ سپتامبر ۲۰۲۱ نسبت به نقص روز صفر بهره‌برداری شده‌ی فعال که روی اینترنت اکسپلورر تأثیر می‌گذارد هشدار داد که برای ربودن سیستم‌های آسیب‌پذیر ویندوز با استفاده از اسناد آفیسِ مسلح شده، استفاده می‌شود.

این نقص که CVE-2021-40444 با امتیاز CVSS: 8.8 نام‌گذاری شده است، یک نقص اجرای کد از راه دور است و ریشه در MSHTML (معروف به Trident) دارد، یک موتور مرورگر اختصاصی برای نسخه‌ی اینترنت اکسپلورری که هنوز متوقف نشده است و در آفیس برای render محتوای وب در داخل اسناد ورد، اکسل و پاورپوینت استفاده می‌شود.

این شرکت دراین‌باره گفت[۱]: “مایکروسافت در حال بررسی گزارش‌های مربوط به آسیب‌پذیری اجرای کد از راه دور در MSHTML است که بر مایکروسافت ویندوز تأثیر می‌گذارد. مایکروسافت از حملات هدفمندی که سعی در بهره‌برداری از این آسیب‌پذیری با استفاده از اسناد ویژه مایکروسافت آفیس دارند، آگاه است.”

“یک مهاجم می‌تواند یک کنترل مخرب ActiveX ایجاد کند تا در سند مایکروسافت آفیس که موتور ارائه‌دهنده مرورگر را در اختیار دارد مورداستفاده قرار گیرد. مهاجم باید کاربر را متقاعد کند که سند مخرب را باز کند. کاربرانی که حساب آن‌ها پیکربندی‌شده است تا دسترسی کمتری در اختیار داشته باشند از افرادی که دسترسی تا حد مدیریتی روی سیستم دارند کمتر تحت تأثیر قرار گیرند.”

این سازنده‌ی ویندوز  اعتبار کشف این نقص را به محققان EXPMON و Mandiant داد، اگرچه این شرکت جزئیات بیشتری در مورد ماهیت حملات، هویت دشمنانی که از این نقص روز صفر بهره‌برداری می‌کنند یا اهداف آن‌ها با توجه به حملات در دنیای واقعی فاش نکرد.

EXPMON، در توییتی[۲] خاطرنشان کرد که این آسیب‌پذیری پس از تشخیص “حمله بسیار پیچیده‌ی روز صفر” با هدف استفاده از مایکروسافت آفیس پیدا شده و یافته‌های خود را روز یکشنبه ۵ سپتامبر ۲۰۲۱ به مایکروسافت منتقل کرد. محققان EXPMON گفتند: “این بهره‌بردار از اشکالات منطقی استفاده می‌کند، بنابراین بهره‌برداری کاملاً قابل‌اعتماد (و خطرناک) است.”

بااین‌حال، شایان‌ذکر است که اگر مایکروسافت آفیس با تنظیمات پیش‌فرض اجرا شود، می‌توان حمله‌ی فعلی را سرکوب کرد، درحالی‌که اسناد بارگیری شده از وب در Protected View یا Application Guard for Office باز می‌شوند، که برای جلوگیری از دسترسی فایل‌های غیرقابل‌اعتماد به منابع قابل‌اعتماد در سیستم به خطر افتاده طراحی ‌شده است[۳و۴].

پس از اتمام تحقیقات، انتظار می‌رود که مایکروسافت یا به‌روزرسانی امنیتی را به‌عنوان بخشی از چرخه‌ی انتشار ماهانه‌ی سه‌شنبه‌های اول ماه منتشر کند یا بسته به نیاز مشتری، یک وصله‌ی خارج از نوبت منتشر کند. در همین حال، سازنده‌ی ویندوز از کاربران و سازمان‌ها می‌خواهد تا همه کنترل‌های ActiveX را در Internet Explorer غیرفعال کنند تا هرگونه حمله احتمالی را کاهش دهند.

منابع

[۱] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

[۲] https://twitter.com/EXPMON_/status/1435309115883020296

[۳] https://support.microsoft.com/en-us/topic/what-is-protected-view-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

[۴] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide

[۵] https://thehackernews.com/2021/09/new-0-day-attack-targeting-windows.html