یک آسیبپذیری اجرای کد از راه دور در مجموعه نرمافزاری مایکروسافت آفیس مربوط به واسطهای OLE در ماه آوریل سال جاری وصله شد. اما اکنون مهاجمان در بخشهای مختلفی همچنان از این آسیبپذیری بهرهبرداری میکنند. پژوهشگران امنیتی کمپین بدافزاری جدیدی را شناسایی کردند که از همین آسیبپذیری بهرهبرداری میکند و حمله با استفاده از یک پیوست آلوده در رایانامههای فیشینگ آغاز میشود. محصولات شرکت مایکروسافت از قبیل آفیس ۲۰۰۷ سرویسپک ۳، آفیس ۲۰۱۰ سرویسپک ۲، آفیس ۲۰۱۳ سرویسپک ۱، آفیس ۲۰۱۶، ویندوز ویستا سرویسپک ۲، ویندوز سرور ۲۰۰۸ سرویسپک ۲، ویندوز هفت سرویسپک ۱ و ویندوز ۸٫۱ دارای این آسیبپذیری هستند. فایل مخرب، یک اکسپلویت از آسیبپذیری CVE-2017-0199 را هدف قرار میدهد که روند آلودگی را آغاز میکند. در نتیجه کد مخرب با استفاده از ویژگیهای انیمیشنهای پاورپوینت اجرا میشود و یک فایلِ لوگو را دانلود مینماید. فایل logo.doc کدهای XML و Javascript را در بر میگیرد که پاورشل را برای اجرای فایلی به نام RATMAN.EXE به راه میاندازد – یک نسخه تروجانی از ابزار دسترسی از راه دور Remcos – که سپس به سرور فرماندهی و کنترل وصل میشود. هنگامیکه سیستم راهاندازی میشود، Remcos قادر است با استفاده از ریسک ماشین آلوده نسبت به کیلاگینگ، اسکرینلاگینگ، رکوردهای وبکم و میکروفن و همچنین دانلود و اجرای بدافزارهای دیگر، عملیات مخرب زیادی را انجام دهد. در واقع مهاجم یک کنترل کامل بر دستگاه آلوده – بدون آگاهی دارندۀ دستگاه – بدست میآورد. با توجه به گزارش پژوهشگران، اولین بار هست که اکسپلویتی برای هدف قرار دادن کاربران محصول پاورپوینت مایکروسافت و انتشار تروجان از طریق آن مورد استفاده قرار میگیرد.
گستردگی جغرافیایی:
تمامی کاربران محصولات مایکروسافت به این حمله آسیبپذیر هستند.
راهکارهای پیشگیری و مقابله:
تنها راه جلوگیری از آلوده شدن به این بدافزارها بهروزرسانی مایکروسافت و اعمال وصله منتشر شده برای این آسیبپذیری در این آدرس میباشد.
منابع:
🌏: Microsoft
🌏: ZDNet
🌏: Security Week
🇮🇷: کاشف