امنیت

فناوری اطلاعات

April 15, 2019
12:22 دوشنبه، 26ام فروردینماه 1398
کد خبر: 98753

مایکروسافت آفیس و آسیب‌پذیری‌هایش

ایدکو: برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.
 
از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.
 
تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).
 
یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.
 
 
چطور چنین چیزهایی پیش می‌آید؟
بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.
 
چطور آسیب‌پذیری‌ها پیدا می‌شوند؟
محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.
 
 
 
[1] Catching multilayered zero-day attacks on MS Office 
منبع: کسپرسکی آنلاین
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.