اخيرا، حفره اي امنيتي در تمام نسخههای مایکروسافت آفیس مورد استفاده نفوذگران قرار مي گيرد به طوريكه آنها مي توانند یک بدافزار مبتنیبر ماکرویِ خود تکثیرکننده (self-replicating) را ساخته و توزیع کنند. بر اساس آمار و گزارشات امنيتي، بر اساس اين بدافزارهاي خود تکثیرکنندهی مبتنیبر ماکرو به یک ماکرو اجازه میدهد که ماکروهای بیشتری بنویسند، كه البته در بين نفوذگران مطلب تازه اي نيست ولي اكنون مایکروسافت برای جلوگیری از چنین تهدیداتی یک ساز و کار امنیتی در مایکروسافت آفیس معرفی کرده است که به صورت پیشفرض این عملکرد را محدود میکند. یک پژوهشگر ایتالیایی به نام Lino Antonio Buono شاغل در شرکت InTheCyber ، یک روش ساده ارائه کرده ، به طوريكه بر اساس آن هر كسي مي تواند که کنترلهای امنیتی که توسط مایکروسافت ایجاد شدهاند را دور بزند و بدافزار خود تکثیرکنندهای را ایجاد کند که پشت اسناد وُرد مایکروسافت که غیرمخرب به نظر میرسند، پنهان شوند. با تماس اين پژوهشگر با شركت مايكروسافت متاسفانه اين شركت اين مطلب را به عنوان حفره امنيتي نپذيرفت مانند ويژگي DDE مایکروسافت آفیس كه هنوز توسط نفوذگران مورد استفاده قرار مي گيرد.
به تازگي باجافزار جدیدي به نام qkG همين روش خود تکثیرکنندهی مذكور را مورد استفاده قرار داده و برای آسیب رساندن به سامانههای قربانیان از آنها استفاده مي نمايند. احتمالا عاملان مخربی که پشت این بدافزار هستند، قبل از افشاء عمومی این حفرهی امنیتی از آن استفاده کردهاند. البته هفته پيش، گزارشي مبني بر انتشار یک باجافزار خود تکثیرکنندهی مبتنی بر ماکرو به نام «qkG» توسط شرکت ترند میکرو منتشر شد، که از ویژگی مایکروسافت آفیس که Buono به آن اشاره کرده بود، استفاده میکند. كارشناسان امنيتي اين شركت نمونههایی از باجافزار qkG را روی وبگاه VirusTotal شناسایی کردند که توسط شخصي از ویتنام بارگذاری شده بود، آنها میگویند: «به نظر میرسد این باجافزار بیشتر از یک پروژهی آزمایشی یا روش بهرهبرداری ساده باشد، و احتمالا بدافزاری است که به طور فعال در سراسر جهان مورد استفاده قرار میگیرد.»
باجافزار qkG ، ماکروی Auto Close VBA را مورد استفاده قرار مي دهد، به طوريكه وقتی قربانی سند مربوطه را بست، به ماکروهای مخرب اجازه داده میشود که اجرا شوند. اكنون آخرین نمونه از باجافزار qkG شامل یک آدرس بیتکوین با يك درخواست باج به مبلغ ۳۰۰ دلار در قالب بیتکوین مي باشد. لازم به ذکر است که هنوز به اين آدرس بیتکوین هیچ مبلغی واریز نشده است، یعنی این باجافزار احتمالا هنوز قرباني نداشته است.
علاوهبر این، در حال حاضر این باجافزار از گذرواژهی مشترک « I’m QkG@PTM۱۷! by TNA@MHT-TT۲» که به صورت ثابت در کد آن قرار دارد استفاده میکند و با این گذرواژه میتوان اسناد آسیبدیده را رمزگشایی کرد. شرکت مایکروسافت جهت محدود کردن دسترسیِ برنامهای پیشفرض به مدل شیء پروژهی VBA آفیس، به صورت پیشفرض ماکروهای خارجی (یا غیرقابل اعتماد) را غیرفعال کرده است، این شرکت همچنین به کاربران توصیه کرده است در صورت نیاز به صورت دستی گزینهی «اعتماد به دسترسی به مدل شیء پروژهی VBA» را فعال کنند. با فعال بودن گزینهی «اعتماد به دسترسی به مدل شیء پروژهی VBA» مایکروسافت آفیس به تمام ماکروها اعتماد میکند و به صورت خودکار هر کدی را بدون نمایش هشدارهای امنیتی یا درخواست مجوز کاربر اجرا میکند.
Buono نشان داد با استفاده از رجیستری ویندوز، میتوان این گزینه را فعال یا غیرفعال کرد، و این مسأله ماکروها را قادر میسازد تا ماکروهای بیشتری را بدون اطلاع و مجوز کاربر ایجاد کنند. برای سوء استفاده از این حفرهی امنیتی یک مهاجم به راحتی میتواند، ابتدا رجیستری ویندوز را ویرایش کرده و سپس یک کد VBA را به همه اسناد doc اضافه کند که یک قربانی در سامانهی خود ایجاد، ویرایش و یا فقط باز میکند. قربانیان به طور ناخودآگاه به توزیع بیشتر بدافزار کمک میکنند. به اين صورت، هنگامي كه قرباني يك سند آلوده را باز مي كند، اجازه مي دهد که یک بار ماکروها اجرا شوند و سامانهی او در برابر حملات مبتنیبر ماکرو آسیبپذیر باقی بمانند. همچنين، قربانی به طور ناخودآگاه با بهاشتراکگذاری اسناد آفیس آسیبدیده از سامانهی خود با کاربران دیگر، همان کد مخرب را توزیع میکند. اگرچه هنوز این روش هیچ به صورت گستردهای مورد بهرهبرداری قرار نگرفته است، اما این پژوهشگر معتقد است که مهاجمان میتوانند از این شیوهی حمله برای توزیع بدافزارهای خود تکثیرکنندهی خطرناکی استفاده کنند که شناسایی و مقابله با آنها بسیار سخت است. از آنجایی که این یک ویژگی قانونی است، بسیاری از راهحلهای ضدبدافزار هیچ هشداری در رابطه با آن صادر نکرده و اسناد مایکروسافت آفیس که دارای کد VBA هستند را مسدود نمیکنند، شرکت مایکروسافت نیز هیچ برنامهای برای ارائهی یک وصلهی امنیتی که این ویژگی را محدود کند، ندارد. Buono گفت: «کاربران میتوانند به منظور به حداقل رساندن تاثیر این آسیبپذیری، کلید رجیستری AccessVBOM را از قسمت HKCU به HKLM منتقل کنند، با انجام این کار این کلید رجیستری فقط توسط مدیر سامانه قابل ویرایش میشود.» بهترين و مطمئن ترين راه حفاظت در برابر چنین بدافزارهایی این است که به طور دائمي نسبت به اسناد ناخواستهای که از طریق یک رایانامه ارسال میشوند، مشکوک باشید و روی پیوندهایی که در این اسناد قرار دارند کلیک و باز نكنيد. مگر اين كه پس از بررسي به طور دقيق آن از لحاظ منبع آن و ديگر مسايل، آنرا بررسی و سپس اقدام به باز نمودن آن نماييد.