اخيرا، حفره اي امنيتي در تمام نسخه‌های مایکروسافت آفیس مورد استفاده نفوذگران قرار مي گيرد به طوريكه آنها مي توانند  یک بدافزار مبتنی‌بر ماکرویِ خود تکثیرکننده (self-replicating) را ساخته و توزیع کنند. بر اساس آمار و گزارشات امنيتي، بر اساس اين بدافزارهاي خود تکثیرکننده‌ی مبتنی‌بر ماکرو به یک ماکرو اجازه می‌دهد که ماکروهای بیشتری بنویسند، كه البته در بين نفوذگران مطلب تازه اي نيست ولي اكنون مایکروسافت برای جلوگیری از چنین تهدیداتی یک ساز و کار امنیتی در مایکروسافت آفیس معرفی کرده است که به صورت پیش‌فرض این عملکرد را محدود می‌کند. یک پژوهشگر ایتالیایی به نام Lino Antonio Buono شاغل در شرکت InTheCyber ، یک روش ساده ارائه کرده ، به طوريكه بر اساس آن هر كسي مي تواند که کنترل‌های امنیتی که توسط مایکروسافت ایجاد شده‌اند را دور بزند و بدافزار‌ خود تکثیرکننده‌ای را ایجاد کند که پشت اسناد وُرد مایکروسافت که غیرمخرب به نظر می‌رسند، پنهان شوند. با تماس اين پژوهشگر با شركت مايكروسافت متاسفانه اين شركت اين مطلب را به عنوان حفره امنيتي نپذيرفت مانند ويژگي DDE مایکروسافت آفیس كه هنوز توسط نفوذگران مورد استفاده قرار مي گيرد.


به تازگي باج‌افزار جدیدي به نام qkG همين روش خود تکثیر‌کننده‌ی مذكور را مورد استفاده قرار داده و برای آسیب‌ رساندن به سامانه‌های قربانیان از آنها استفاده مي نمايند. احتمالا عاملان مخربی که پشت این بدافزار هستند، قبل از افشاء عمومی این حفره‌ی امنیتی از آن استفاده کرده‌اند. البته هفته پيش، گزارشي مبني بر انتشار یک باج‌افزار خود تکثیرکننده‌ی مبتنی ‌بر ماکرو به نام «qkG»  توسط شرکت ترند میکرو منتشر شد، که از ویژگی مایکروسافت آفیس که Buono به آن اشاره کرده بود، استفاده می‌کند. كارشناسان امنيتي اين شركت نمونه‌هایی از باج‌افزار qkG را روی وب‌گاه VirusTotal شناسایی کردند که توسط  شخصي از ویتنام بارگذاری شده بود، آنها می‌گویند: «به نظر می‌رسد این باج‌افزار بیشتر از یک پروژه‌ی آزمایشی یا روش بهره‌برداری ساده باشد، و احتمالا بدافزاری است که به طور فعال در سراسر جهان مورد استفاده قرار می‌گیرد.»
باج‌افزار qkG ، ماکروی Auto Close VBA را مورد استفاده قرار مي دهد، به طوريكه وقتی قربانی سند مربوطه را بست، به ماکروهای مخرب اجازه داده می‌شود که اجرا شوند. اكنون آخرین نمونه از باج‌افزار qkG شامل یک آدرس بیت‌کوین با يك درخواست باج‌ به مبلغ ۳۰۰ دلار در قالب بیت‌کوین مي باشد. لازم به ذکر است که هنوز به اين آدرس بیت‌کوین هیچ مبلغی واریز نشده است، یعنی این باج‌افزار احتمالا هنوز قرباني نداشته است.
علاوه‌بر این، در حال حاضر این باج‌افزار از گذرواژه‌ی مشترک « I’m QkG@PTM۱۷! by TNA@MHT-TT۲» که به صورت ثابت در کد آن قرار دارد استفاده می‌کند و با این گذرواژه می‌توان اسناد آسیب‌دیده را رمزگشایی کرد. شرکت مایکروسافت جهت محدود کردن دسترسیِ برنامه‌ای پیش‌فرض به مدل شیء پروژه‌ی VBA آفیس، به صورت پیش‌فرض ماکروهای خارجی (یا غیرقابل اعتماد) را غیرفعال کرده است، این شرکت همچنین به کاربران توصیه کرده است در صورت نیاز به صورت دستی گزینه‌ی «اعتماد به دسترسی به مدل شیء پروژه‌ی VBA» را فعال کنند. با فعال بودن گزینه‌ی «اعتماد به دسترسی به مدل شیء پروژه‌ی VBA» مایکروسافت آفیس به تمام ماکروها اعتماد می‌کند و به صورت خودکار هر کدی را بدون نمایش هشدارهای امنیتی یا درخواست مجوز کاربر اجرا می‌کند.
Buono نشان داد با استفاده از رجیستری ویندوز، می‌توان این گزینه را فعال یا غیرفعال کرد، و این مسأله ماکروها را قادر می‌سازد تا ماکروهای بیشتری را بدون اطلاع و مجوز کاربر ایجاد کنند. برای سوء استفاده از این حفره‌ی امنیتی یک مهاجم به راحتی می‌تواند، ابتدا رجیستری ویندوز را ویرایش کرده و سپس یک کد VBA را به همه اسناد doc اضافه ‌کند که یک قربانی در سامانه‌ی خود ایجاد، ویرایش و یا فقط باز می‌کند. قربانیان به طور ناخودآگاه به توزیع بیشتر بدافزار کمک می‌کنند. به اين صورت، هنگامي كه قرباني يك سند آلوده را باز مي كند، اجازه مي دهد که یک بار ماکروها اجرا شوند و سامانه‌ی او در برابر حملات مبتنی‌بر ماکرو آسیب‌پذیر باقی بمانند. همچنين، قربانی به طور ناخودآگاه با به‌اشتراک‌گذاری اسناد آفیس آسیب‌دیده از سامانه‌ی خود با کاربران دیگر، همان کد مخرب را توزیع می‌کند.  اگرچه هنوز این روش هیچ به صورت گسترده‌ای مورد بهره‌برداری قرار نگرفته است، اما این پژوهش‌گر معتقد است که مهاجمان می‌توانند از این شیوه‌ی حمله برای توزیع بدافزار‌های خود تکثیر‌کننده‌ی خطرناکی استفاده کنند که شناسایی و مقابله با آن‌ها بسیار سخت است. از آن‌جایی که این یک ویژگی قانونی است، بسیاری از راه‌حل‌های ضدبدافزار هیچ هشداری در رابطه با آن صادر نکرده و اسناد مایکروسافت آفیس که دارای کد VBA هستند را مسدود نمی‌کنند، شرکت مایکروسافت نیز هیچ برنامه‌ای برای ارائه‌ی یک وصله‌ی امنیتی که این ویژگی را محدود کند، ندارد. Buono گفت: «کاربران می‌توانند به منظور به حداقل رساندن تاثیر این آسیب‌پذیری، کلید رجیستری AccessVBOM را از قسمت HKCU به HKLM منتقل کنند، با انجام این کار این کلید رجیستری فقط توسط مدیر سامانه قابل ویرایش می‌شود.» بهترين و مطمئن ترين راه حفاظت در برابر چنین بدافزارهایی این است که به طور دائمي نسبت به اسناد ناخواسته‌ای که از طریق یک رایانامه ارسال می‌شوند، مشکوک باشید و روی پیوندهایی که در این اسناد قرار دارند کلیک و باز نكنيد. مگر اين كه پس از بررسي به طور دقيق آن از لحاظ منبع آن و ديگر مسايل، آن‌را بررسی و سپس اقدام به باز نمودن آن نماييد.

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png