هشدار: احتمال سرقت اطلاعات با دانلود فایل ورد مایکروسافت
آسیب پذیری که جدیدا توسط مایکروسافت اعلام شده است یک آسیب پذیری جدی است که مهاجم میتواند با استفاده از آن، کدهای دلخواه خود را با امکان فراخواندن برنامههای مختلف اجرا کند. مهاجم میتواند برنامه نصب کند، اطلاعات را مشاهده کرده یا تغییر داده و یا حذف کند. جامعه کریپتو نیز نسبت به سرقت اطلاعات حساس مانند کلمات بازیابی، کلید خصوصی و نصب بدافزارها با این روش هشدار دادهاند. بسیاری از کارشناسان، نسبت به دانلود فایل متنی ورد با فرمتهای مختلف به خصوص فرمت .rtf هشدار دادهاند.
یکی از شرکتهای امنیت وب ۳ به تمام کاربران برنامه ورد مایکروسافت که بر روی رایانه خود رمزارز دارند هشدار مهمی داده است. آسیبپذیری zero-day «فولینا» (Follina) در بعضی از فایلهای ورد یافت شده است. این آسیبپذیری، در اختیار گرفتن کنترل کامل رایانه بدون اجرای فایل را امکانپذیر میسازد.
به گزارش میهن بلاکچین و به نقل از U.Today، این آسیبپذیری به عنوان «کوه اکسپلویت» شناخته میشود زیرا تعداد زیادی عملیات مخرب در رایانههای شخصی را امکانپذیر میسازد. متاسفانه هنوز هیچکدام از نرمافزارهای آنتی ویروس این آسیبپذیری را در دیتابیس خود وارد نکردهاند. «آسیبپذیری روز صفر» به معنای آن است که اکسپلویت، ویروس یا مکانیزم حمله مدنظر هنوز قابل شناسایی نیست و هیچ روشی برای محافظت از کاربران وجود ندارد.
این هک با کمک گزینه الگوسازی (Template) در برنامه ورد مایکروسافت کار میکند. این گزینه به کاربران امکان میدهد تا به بارگذاری و اجرای HTML و JS از منابع خارجی بپردازند. معمولا اجازه اجرای JS و HTML از منابع غیرمعتبر به شدت خطرناک است.
این اکسپلویت پس از فعال شدن، دستوری اجرا میکند که ابزار شناسایی مشکل مایکروسافت را فعال میکند. این ابزار توسط عوامل پشتیبانی و رفع مشکلات در سیستم عامل با کمک دسترسی از راه دور استفاده میشود.
هدف اصلی هکر ممکن است دستیابی به کلیدهای خصوصی باشد که در رایانه شخصی کاربران ذخیره شده است. پس از آنکه اجازه دسترسی داده شد، به هیچ عنوان نمیتوان از سیستم عامل محافظت کرد. تنها روش برای جلوگیری از حذف و از دست رفتن فایلها و اطلاعات مهم و حساس، پاکسازی کامل سیستم است.
آیا این نوع حملات مورد تایید مایکروسافت بوده است؟
در نگاه اول که با این خبر مواجه شدیم، ابتدا پرسیدیم که آیا مایکروسافت در این خصوص بیانیهای داشته است. یوتودی از رشته توییت حسابی با نام Wallet Guard استفاده کرده است. در ادامه این توییتها منابعی از سایت مایکروسافت درج شده است که به یک آسیب پذیری اشاره کرده است.
متن زیر از سایت مایکروسافت (لینک بالا) برداشته شده است که نسبت به اکسپلویت و احتمال حمله هشدار داده شده است.
مهاجمی که با موفقیت بتواند از این آسیبپذیری سو استفاده کند، میتواند کدهای دلخواه خود را با امکان فراخواندن برنامههای مختلف اجرا کند. مهاجم میتواند برنامه نصب کند، اطلاعات را مشاهده کرده یا تغییر داده و یا حذف کند. همچنین میتواند با استفاده از حقوق کاربر، حسابهای جدیدی ایجاد کند.
پیشنهاد شده است برای جلوگیری از اجرای این اکسپلویت در رایانه شخصی، از دانلود فایلهایی با پسوند rtf، doc و docx از منابع نامعتبر اجتناب شود. خطر اصلی در دانلود فایلهای .rtf گزارش شده است. این اکسپلویت، اجرای کدها از راه دور را ممکن میسازد، بنابراین بسیار خطرناک و جدی است. در این ویدیو یک نمونه از این حمله به صورت ساده نمایش داده شده است که در آن با دانلود یک فایل rtf، ماشین حساب سیستم به صورت خودکار فعال میشود.
در همان لینک از سایت Microsift که بالاتر قرار داده شده است، راهکاری برای رفع این مشکل توضیح داده شده است. این راهکار غیر فعال کردن یو آر ال MSDT است. احتمالا در آپدیت بعدی آفیس مایکروسافت، به این آسیب پذیریها رسیدگی شود. با این حال راهکار فعلی این شرکت، غیر فعال کردن URL MSDT و استفاده از سرویس Microsoft Cloud Delivered Protection بوده است.
پرسش و پاسخ
- آیا فایل ورد را دانلود نکنیم؟
حداقل برای مدتی از دانلود فایل ورد از منابع نامعتبر پرهیز کنید. فایلهایی با پسوند rtf، doc و docx میتوانند امنیت سیستم شما را به خطر بیندازند.
- این آسیب پذیری به رمزارزها چه ارتباطی دارد؟
همواره توصیه میشود که از ذخیره عبارات بازیابی و کلید خصوصی و اطلاعات حساس دیگر در کامپیوتر خودداری کنید. دسترسی به هرکدام از این فایلها میتواند باعث خالی شدن کیف پول شما شود.