با توجه به آسيب پذيري كشف شده توسط محققان امنیتی Embedi که در تمام نسخه‌های مایکروسافت آفیس منتشر شده در ۱۷ سال گذشته، از جمله مایکروسافت آفیس ۳۶۵، وجود داشته و در برابر تمام نسخه‌های سيستم عامل ویندوز، از جمله آخرین به‌روزرسانی ویندوز ۱۰ نيز کار می‌کند، بنابراين در هنگام باز کردن اسناد در مایکروسافت آفیس باید بسیار مراقب باشید.
هنگامی‌که هنوز كه جهان همچنان با تهدید داخلی DDE آفيس، دست و پنجه نرم مي كند، محققان یک موضوع جديد جدی در مولفه‌ی دیگری از آفیس کشف کرده‌اند که می‌تواند به مهاجمان اجازه دهد تا بدافزار را از راه دور بر روی رایانه‌های هدف نصب نمایند. این آسیب‌پذیری مربوط به یک آسيب پذيري مربوط به حافظه است. این آسیب‌پذیری منجر به اجرای کد از راه دور می‌شود که به یک مهاجم تایید نشده اجازه می‌دهد تا پس از باز کردن یک سند مخرب و بدون نیاز به تعامل با کاربر، کد مخرب را بر روی رایانه‌ی هدف اجرا کند.
این آسیب‌پذیری که با شناسه‌ی CVE-2017-11882 ردیابی می‌شود، در EQNEDT32.exe كه یکي از مولفه ها‌ی مایکروسافت آفیس مي باشد، مسئول درج و ویرایش معادله‌های ریاضی (اشیای OLE) موجود اسناد می‌باشد.

آسيب پذيري آفيس


با این حال، با توجه به عملیات نامناسب حافظه، این مولفه قادر به دسته‌بندی مناسب اشیاء در حافظه نبوده و خرابی آن به‌گونه‌ای است که مهاجم می‌تواند کد مخرب را اجرا کند. ۱۷ سال پیش، EQNEDT32.exe در مایکروسافت آفیس ۲۰۰۰ معرفی شد و به‌منظور اطمینان از اینکه نرم‌افزار با اسناد نسخه‌های قدیمی‌تر سازگار باقی می‌ماند، در تمام نسخه‌های منتشر شده پس از مایکروسافت آفیس ۲۰۰۷ نگه داشته شد.

کنترل کامل سامانه‌ی قربانی با این آسیب‌پذیری
برای بهره‌برداری از این آسیب‌پذیری، قرباني اقدام به سند مخرب آفيس مي نمايد كه با یک نسخه‌ی آسیب‌دیده از نرم‌افزار مایکروسافت آفیس یا مایکروسافت وردپَد نیاز می‌باشد. این آسیب‌پذیری می‌تواند برای کنترل کامل یک سامانه هنگام ترکیب با بهره‌برداری از افزایش امتیازات هسته‌ ویندوز (با شناسه‌ی CVE-2017-11847)، مورد بهره‌برداری قرار بگیرد. محققان Embedi درحالی‌که دامنه‌ی این آسیب‌پذیری را توضیح می‌دهند، چندین سناریوی حمله را نیز پیشنهاد کرده‌اند:
«با قرار دادن چندین معادله‌ی ریاضی که آسیب‌پذیری توصیف شده را مورد بهره‌برداری قرار می‌دهند، امکان اجرای یک توالی دلخواه از دستورات وجود دارد (به‌عنوان مثال، بارگیری یک پرونده‌ی دلخواه از اینترنت و اجرای آن). یکی از ساده‌ترین راه‌های اجرای کد از راه دور، راه‌اندازی یک پرونده‌ی قابل اجرا از کارگزار WebDAV تحت کنترل یک مهاجم است. با این وجود، مهاجم می‌تواند از آسیب‌پذیری توصیف شده برای اجرای دستورات خط فرمان ویندوز استفاده کند. چنین دستوراتی می‌تواند به‌عنوان بخشی از یک بهره‌برداری و راه‌اندازی WebClient به‌کار رود.»
حفاظت در برابر آسیب‎پذیری مایکروسافت آفیس
مایکروسافت با انتشار وصله‌ی این ماه، با تغییر نحوه‌ی عملکرد نرم‌افزار آسیب‌دیده‌ی کنترل اشیاء در حافظه، این آسیب‌پذیری را رفع کرده است. بنابراین، به کاربران به ‌شدت توصیه می‌شود تا برای جلوگیری از کنترل رایانه‌های خود توسط نفوذگران و مجرمان سایبری، در اسرع وقت وصله‌های امنیتی ماه نوامبر را اعمال کنند. از آنجایی که این مولفه دارای تعدادی از مسائل امنیتی است که می‌تواند به‌راحتی مورد بهره‌برداری قرار گیرد، غیرفعال کردن آن می‌تواند بهترین راه برای اطمینان از امنیت سامانه‌ی شما باشد.

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png