هشدار: حفره امنیتی موجود در Microsoft Word می‌تواند باعث دسترسی هکرها به کل سیستم کاربر شود

شاید خیلی از ما فکر کنیم که نرم افزار Word تنها برای نگارش متن است. ولی باید در نظر داشته باشیم که اوضاع به همین سادگی هم نیست و می‌توان از همین نرم افزار نیز راهی ایجاد کرد تا هکرها بتوانند به سیستم های کاربران دسترسی پیدا کنند. به تازگی آسیب پذیری جدید در این نرم افزار کشف شده است که به مدت چند ماه توسط هکرها برای نفوذ به سیستم کاربران مورد استفاده قرار می‌گرفته است. در ادامه مطلب با ما همراه باشید تا ببینیم داستان از چه قرار است.

نرم افزار Word برای بسیاری از ما تنها یک نرم افزار نگارش متن و بستری برای آماده کردن گزارش ها، مقالات و ... است اما باید این را بدانیم که Word با داشتن امکاناتی مانند ماکرو ها و استفاده از زبان برنامه نویسی VB مختص به خود می‌تواند برای امور پیشرفته تری که نیاز به نگارش کد های نرم افزار دارند، قابلیت های زیادی را به همراه داشته باشد که این افزونه ها به مانند هر برنامه و یا افزونه دیگری می‌توانند جهت نیل به اهداف مثبت و البته منفی، مورد استفاده قرار بگیرند.

اما همواره باید به مسائل امنیتی نیز توجه کرد؛ زیرا هر کجا که کد های نرم افزاری وارد عمل می‌شوند می‌توان انتظار داشت که هکرها با استفاده از اهداف شوم خود وارد کار شوند و بتوانند با استفاده از حفره های امنیتی برنامه ها به قصد تخریب سیستم کاربر و یا سوء استفاده از آن اقدام به اضافه کردن کد های آلوده به برنامه ها کنند و بستر مناسب برای دستیابی به اهداف خود را ایجاد نمایند.

اما به موضوع مورد بحث خود بازگردیم. آسیب پذیری که قصد صحبت در مورد آن را داریم اولین بار در روز جمعه گذشته و توسط مرکز تحقیقات شرکت امنیتی McAfee کشف شد و نتیجه بررسی هایی بود که محققین این مرکز روی چند فایل Word آلوده ای که روز قبل آن به آنها مشکوک شده بودند دیده شده بود. در جریان این تحقیقات، مهندسین مک آفی به این نتیجه رسیدند که آسیب پذیری مذکور می‌تواند منجر به نفوذ به نرم افزار Word و آن هم در همه نسخه های آن (حتی آخرین نسخه نرم افزار یعنی Word 2016 که روی ویندوز 10 نصب و بروز شده است) شود.

این آسیب پذیری مربوط به قابلیت Windows Object Linking and Embedding (به اختصار OLE) در مجموعه مایکروسافت آفیس مربوط می‌شود که به اسناد آفیس اجازه جاسازی (embed) کردن مرجع و یا لینک هایی به اسناد و یا object‌های دیگر می‌شود.

اما از لحظه ای که فایل آلوده به این آسیب پذیری باز شود، به سرور خارجی متصل شده و یک نرم افزار HTML که با فرمت hta. مشخص می‌شود و محتوی کدهای VBScript آلوده است را دانلود می‌کند. فایل hta مذکور بعد از دانلود شدن خود را به فایل های معمولی RTF تبدیل نموده و پس از آن به صورت کامل اجرا می‌شود.

در همین زمینه یکی از متخصصین مک‌آفی اینگونه توضیح می‌دهد:

این بدافزار به صورت هوشمندانه ای بعد از اجرا شدن خود را به صورت یک فایل ورد درآورده و به کاربر پاپ آپی را نشان می‌دهد که جعلی بوده و نمی‌توان آن را با یک فایل معمولی تمیز داد. در این حالت در زمینه، بدافزار مورد نظر خود را به صورت پنهانی بر روی سیستم کاربر نصب می‌کند تا آماده انجام عملیات خود شود.

مک‌آفی با بررسی بیشتر بر روی اطلاعاتی که در این زمینه توانسته به آنها دست یابد مشخص کرده است که این بدافزار فعالیت خود را از اواخر ماه ژانویه آغاز کرده است و در حال حاضر در حدود 3 ماه است که به صورت آزادانه و بدون اینکه شناسایی شده باشد در فضای وب در حال فعالیت و آلوده سازی حجم بیشتری از نرم افزارهاست.

به صورت موازی و همزمان با مک‌آفی، موسسه امنیتی FireEye نیز گزارشی را در خصوص این آسیب پذیری منتشر کرده و در آن اعلام نموده که بعد از شناسایی آسیب پذیری مراتب را به مایکروسافت نیز اطلاع داده است تا شرکت بتواند هر چه سریعتر پچ و بروزرسانی های امنیتی در خصوص رفع آن را ارائه نماید.

بر اساس گزارشی که FireEye در این زمینه منتشر کرده است اسناد Word آلوده به بدافزار مذکور از طریق ایمیل در فضای وب منتشر می‌شوند. این موسسه مثالهایی از نوع ایمیل ها و نحوه انتشار آنها منتشر نکرده است اما با توجه به اینکه این بدافزار تا به امروز ناشناخته بوده است و آسیب پذیری از نوع Zero-day به حساب می‌آید باید بگوییم که به احتمال فراوان تا به امروز روی تعداد زیادی از سیستم ها در وب نصب نشده است و نباید چندان در مورد آن نگران باشیم.

هر دو منبع FireEye و McAfee اعلام کرده اند که به دلیل آنکه این بدافزار نوعی باگ نرم افزاری به حساب می‌آید با بررسی  فضای اشغال شده در حافظه نیز نمی‌توان به وجود آن پی برد، زیرا می‌توان بسیاری از روشهای شناسایی کاهش حافظه در دسترس موجود در ویندوز را دور بزند.

در آخر باید به این نکته اشاره کنیم که مایکروسافت هنوز هیچ گونه واکنش رسمی به این آسیب پذیری نشان نداده است و بروزرسانی را منتشر نکرده است که آن را غیر فعال کند.