شاید خیلی از ما فکر کنیم که نرم افزار Word تنها برای نگارش متن است. ولی باید در نظر داشته باشیم که اوضاع به همین سادگی هم نیست و میتوان از همین نرم افزار نیز راهی ایجاد کرد تا هکرها بتوانند به سیستم های کاربران دسترسی پیدا کنند. به تازگی آسیب پذیری جدید در این نرم افزار کشف شده است که به مدت چند ماه توسط هکرها برای نفوذ به سیستم کاربران مورد استفاده قرار میگرفته است. در ادامه مطلب با ما همراه باشید تا ببینیم داستان از چه قرار است.
نرم افزار Word برای بسیاری از ما تنها یک نرم افزار نگارش متن و بستری برای آماده کردن گزارش ها، مقالات و ... است اما باید این را بدانیم که Word با داشتن امکاناتی مانند ماکرو ها و استفاده از زبان برنامه نویسی VB مختص به خود میتواند برای امور پیشرفته تری که نیاز به نگارش کد های نرم افزار دارند، قابلیت های زیادی را به همراه داشته باشد که این افزونه ها به مانند هر برنامه و یا افزونه دیگری میتوانند جهت نیل به اهداف مثبت و البته منفی، مورد استفاده قرار بگیرند.
اما همواره باید به مسائل امنیتی نیز توجه کرد؛ زیرا هر کجا که کد های نرم افزاری وارد عمل میشوند میتوان انتظار داشت که هکرها با استفاده از اهداف شوم خود وارد کار شوند و بتوانند با استفاده از حفره های امنیتی برنامه ها به قصد تخریب سیستم کاربر و یا سوء استفاده از آن اقدام به اضافه کردن کد های آلوده به برنامه ها کنند و بستر مناسب برای دستیابی به اهداف خود را ایجاد نمایند.
اما به موضوع مورد بحث خود بازگردیم. آسیب پذیری که قصد صحبت در مورد آن را داریم اولین بار در روز جمعه گذشته و توسط مرکز تحقیقات شرکت امنیتی McAfee کشف شد و نتیجه بررسی هایی بود که محققین این مرکز روی چند فایل Word آلوده ای که روز قبل آن به آنها مشکوک شده بودند دیده شده بود. در جریان این تحقیقات، مهندسین مک آفی به این نتیجه رسیدند که آسیب پذیری مذکور میتواند منجر به نفوذ به نرم افزار Word و آن هم در همه نسخه های آن (حتی آخرین نسخه نرم افزار یعنی Word 2016 که روی ویندوز 10 نصب و بروز شده است) شود.
این آسیب پذیری مربوط به قابلیت Windows Object Linking and Embedding (به اختصار OLE) در مجموعه مایکروسافت آفیس مربوط میشود که به اسناد آفیس اجازه جاسازی (embed) کردن مرجع و یا لینک هایی به اسناد و یا objectهای دیگر میشود.
اما از لحظه ای که فایل آلوده به این آسیب پذیری باز شود، به سرور خارجی متصل شده و یک نرم افزار HTML که با فرمت hta. مشخص میشود و محتوی کدهای VBScript آلوده است را دانلود میکند. فایل hta مذکور بعد از دانلود شدن خود را به فایل های معمولی RTF تبدیل نموده و پس از آن به صورت کامل اجرا میشود.
در همین زمینه یکی از متخصصین مکآفی اینگونه توضیح میدهد:
این بدافزار به صورت هوشمندانه ای بعد از اجرا شدن خود را به صورت یک فایل ورد درآورده و به کاربر پاپ آپی را نشان میدهد که جعلی بوده و نمیتوان آن را با یک فایل معمولی تمیز داد. در این حالت در زمینه، بدافزار مورد نظر خود را به صورت پنهانی بر روی سیستم کاربر نصب میکند تا آماده انجام عملیات خود شود.
مکآفی با بررسی بیشتر بر روی اطلاعاتی که در این زمینه توانسته به آنها دست یابد مشخص کرده است که این بدافزار فعالیت خود را از اواخر ماه ژانویه آغاز کرده است و در حال حاضر در حدود 3 ماه است که به صورت آزادانه و بدون اینکه شناسایی شده باشد در فضای وب در حال فعالیت و آلوده سازی حجم بیشتری از نرم افزارهاست.
به صورت موازی و همزمان با مکآفی، موسسه امنیتی FireEye نیز گزارشی را در خصوص این آسیب پذیری منتشر کرده و در آن اعلام نموده که بعد از شناسایی آسیب پذیری مراتب را به مایکروسافت نیز اطلاع داده است تا شرکت بتواند هر چه سریعتر پچ و بروزرسانی های امنیتی در خصوص رفع آن را ارائه نماید.
بر اساس گزارشی که FireEye در این زمینه منتشر کرده است اسناد Word آلوده به بدافزار مذکور از طریق ایمیل در فضای وب منتشر میشوند. این موسسه مثالهایی از نوع ایمیل ها و نحوه انتشار آنها منتشر نکرده است اما با توجه به اینکه این بدافزار تا به امروز ناشناخته بوده است و آسیب پذیری از نوع Zero-day به حساب میآید باید بگوییم که به احتمال فراوان تا به امروز روی تعداد زیادی از سیستم ها در وب نصب نشده است و نباید چندان در مورد آن نگران باشیم.
هر دو منبع FireEye و McAfee اعلام کرده اند که به دلیل آنکه این بدافزار نوعی باگ نرم افزاری به حساب میآید با بررسی فضای اشغال شده در حافظه نیز نمیتوان به وجود آن پی برد، زیرا میتوان بسیاری از روشهای شناسایی کاهش حافظه در دسترس موجود در ویندوز را دور بزند.
در آخر باید به این نکته اشاره کنیم که مایکروسافت هنوز هیچ گونه واکنش رسمی به این آسیب پذیری نشان نداده است و بروزرسانی را منتشر نکرده است که آن را غیر فعال کند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت