آسیب پذیری CVE-2017-0199 آفیس و دور زدن UAC

یک آسیب‌پذیری اجرای کد از راه دور در مجموعه نرم‌افزاری مایکروسافت آفیس مربوط به واسط‌های OLE در ماه آوریل سال جاری وصله شد. اما اکنون مهاجمان در بخش‌های مختلفی همچنان از این آسیب‌پذیری بهره‌برداری می‌کنند.

 

 

پژوهشگران امنیتی کمپین بدافزاری جدیدی را شناسایی کردند که از همین آسیب‌پذیری بهره‌برداری می‌کند و حمله با استفاده از یک پیوست آلوده در رایانامه‌های فیشینگ آغاز می‌شود. محصولات شرکت مایکروسافت از قبیل آفیس ۲۰۰۷ سرویس‌پک ۳، آفیس ۲۰۱۰ سرویس‌پک ۲، آفیس ۲۰۱۳ سرویس‌پک ۱، آفیس ۲۰۱۶، ویندوز ویستا سرویس‌پک ۲، ویندوز سرور ۲۰۰۸ سرویس‌پک ۲، ویندوز هفت سرویس‌پک ۱ و ویندوز ۸٫۱ دارای این آسیب‌پذیری هستند. فایل مخرب، یک اکسپلویت از آسیب‌پذیری CVE-2017-0199 را هدف قرار می‌دهد که روند آلودگی را آغاز می‌کند. در نتیجه کد مخرب با استفاده از ویژگی‌های انیمیشن‌های پاورپوینت اجرا می‌شود و یک فایلِ لوگو را دانلود می‌نماید. فایل logo.doc کدهای XML و Javascript را در بر میگیرد که پاورشل را برای اجرای فایلی به نام RATMAN.EXE به راه میاندازد – یک نسخه تروجانی از ابزار دسترسی از راه دور Remcos – که سپس به سرور فرماندهی و کنترل وصل می‌شود. هنگامیکه سیستم راه اندازی میشود، Remcos قادر است با استفاده از ریسک ماشین آلوده نسبت به کیلاگینگ، اسکرینلاگینگ، رکوردهای وبکم و میکروفن و همچنین دانلود و اجرای بدافزارهای دیگر، عملیات مخرب زیادی را انجام دهد. در واقع مهاجم یک کنترل کامل بر دستگاه آلوده – بدون آگاهی دارندۀ دستگاه – بدست میآورد. با توجه به گزارش پژوهشگران، اولین بار هست که اکسپلویتی برای هدف قرار دادن کاربران محصول پاورپوینت مایکروسافت و انتشار تروجان از طریق آن مورد استفاده قرار می‌گیرد.

تمامی کاربران محصولات مایکروسافت به این حمله آسیب‌پذیر هستند.

راهکارهای پیشگیری و مقابله:
تنها راه جلوگیری از آلوده شدن به این بدافزارها اعمال به‌روزرسانی‌ ارائه شده ی مایکروسافت است.


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

14 + 2 =