مایکروسافت آفیس و آسیب‌پذیری‌هایش

25 فروردین 1398 مایکروسافت آفیس و آسیب‌پذیری‌هایش

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.

از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.

تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).

یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.

حال سوال اینجاست که چطور چنین چیزهایی پیش می‌آید؟

بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.

چطور آسیب‌پذیری‌ها پیدا می‌شوند؟

محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.

 

[1] Catching multilayered zero-day attacks on MS Office 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    4,255,750 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,515,250 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,082,750 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,282,300 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,282,300 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    3,037,750 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد