بالو ألتو نتوركس تحذر من استخدام “أوفيس”
حذرت شركة بالو التو نتوركس من استخدام منتجات شركة مايكروسوفت العالمية خاصة البرامج المكتبية “مايكروسوفت اوفيس” تعتبر حزمة البرامج والأدوات المكتبية “مايكروسوفت أوفيس” ذات فائدة كبيرة لنا جميعاً، وهذا أحد الأسباب التي تدفعنا لفتح مستند أوفيس يصلنا كملف مرفق في رسائل البريد الإلكتروني. وعادة ما يختار المهاجمون هذه المستندات لشن الهجمات الخبيثة التي تستهدف أجهزة المستخدمين مسلحين انطلاقاً من ثقتهم بميل العديد من المستخدمين لفتح إي مستند يصلهم تقريباً، حتى تلك التي تصل من مصادر غير موثوقة.
وسلطت اليوم شركة بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي من الحلول الأمنية، الضوء على أساليب مختلفة يمكن من خلالها استغلال مستندات أوفيس وإساءة استخدامها لاستهداف الأجهزة الطرفية العاملة بنظام التشغيل ويندوز، وهي:
- أدوات الماكرو
تعتبر أدوات الماكرو Macros من الأساليب المباشرة التي يستخدمها المهاجمون لاستغلال مستندات أوفيس كأدوات هجومية خبيثة. وتمتاز برامج أوفيس بأدوات برمجية مدمجة قادرة على تشغيل نصوص تطبيقات فيجوال بيسك VBA. ويتم تفعيل هذه النصوص تلقائياً فور فتح المستندات، دون أي تدخل من المستخدم (على افتراض أن المستخدم قام بتفعيل أدوات الماكرو مسبقاً) لتقوم بتشغيل أكواد خبيثة على النظام. وفي حال عدم تفعيل أدوات الماكرو على النظام، ستظهر نافذة منبثقة تطلب من المستخدم النقر لتفعيل هذه الأدوات. وتعتبر النافذة المنبثقة واحدة من آليات الحماية المتعددة التي تعتمدها مايكروسوفت للتخفيف من المخاطر الأمنية المرافقة لاستخدام وحدات الماكرو. كما تقوم مايكروسوفت باستخدام لاحقة ملفات مختلفة (مثل .docm عوضاً عن .docx للمستندات الجديدة التي تحتوي على أدوات الماكرو).
- ملفات الفلاش المدمجة
إلى جانب الإمكانيات المدمجة كأدوات المايكرو، يمكن أن تتضمن ملفات أوفيس إضافات خارجية مدمجة كملفات أدوبي فلاش. ويتم إيصال هذه الإضافات إلى البرامج المناسبة للتعامل معها، وبالتالي يمكن استغلال أي ثغرة في البرنامج لتضمين الملفات الخبيثة ضمن محتوى أدوبي فلاش في ملفات الأوفيس. ومن الأمثلة على مثل هذه الهجمات التي يستغلها المهاجمون هي الثغرة المعروفة باسم “CVE-2018-4878” في مشغل أدوب فلاش بلاير زيرو داي، والتي تعمل على استغلال المشغل عبر إرفاق ملفات SWF ضمن ملفات إكسل. وفي مثل هذه الأنواع من الهجمات، فإن ملف إكسل الخبيث يتضمن محتوى أدوبي فلاش والذي يمكن يتسبب بثغرة في مشغل الفلاش لتحميل شيل كود Shellcode الذي يمكن المهاجم من السيطرة على جهاز المستخدم.
- أداة محرر المعادلات من مايكروسوفت
بأسلوب مماثل لإرفاق ملفات أدوبي فلاش على مستند أوفيس، بالإمكان أيضاً إرفاق معادلات في المستندات التي سيتم تحليلها من قبل أداة مايكروسوفت لتحرير المعادلات – البرمجية التي تتيح إمكانية كتابة معادلات رياضية.
