هشدار: احتمال سرقت اطلاعات با دانلود فایل ورد مایکروسافت

آسیب پذیری که جدیدا توسط مایکروسافت اعلام شده است یک آسیب پذیری جدی است که مهاجم می‌تواند با استفاده از آن، کدهای دلخواه خود را با امکان فراخواندن برنامه‌های مختلف اجرا کند. مهاجم می‌تواند برنامه‌ نصب کند، اطلاعات را مشاهده کرده یا تغییر داده و یا حذف کند. جامعه کریپتو نیز نسبت به سرقت اطلاعات حساس مانند کلمات بازیابی، کلید خصوصی و نصب بدافزارها با این روش هشدار داده‌اند. بسیاری از کارشناسان، نسبت به دانلود فایل متنی ورد با فرمت‌های مختلف به خصوص فرمت .rtf هشدار داده‌اند.

یکی از شرکت‌های امنیت وب ۳ به تمام کاربران برنامه ورد مایکروسافت که بر روی رایانه خود رمزارز دارند هشدار مهمی داده است. آسیب‌پذیری zero-day «فولینا» (Follina) در بعضی از فایل‌های ورد یافت شده است. این آسیب‌پذیری، در اختیار گرفتن کنترل کامل رایانه بدون اجرای فایل را امکان‌پذیر می‌سازد.

به گزارش میهن بلاکچین و به نقل از U.Today، این آسیب‌پذیری به عنوان «کوه اکسپلویت» شناخته می‌شود زیرا تعداد زیادی عملیات مخرب در رایانه‌های شخصی را امکان‌پذیر می‌سازد. متاسفانه هنوز هیچکدام از نرم‌افزارهای آنتی ویروس این آسیب‌پذیری را در دیتابیس خود وارد نکرده‌اند. «آسیب‌پذیری روز صفر» به معنای آن است که اکسپلویت، ویروس یا مکانیزم حمله مدنظر هنوز قابل شناسایی نیست و هیچ روشی برای محافظت از کاربران وجود ندارد.

این هک با کمک گزینه الگوسازی (Template) در برنامه ورد مایکروسافت کار می‌کند. این گزینه به کاربران امکان می‌دهد تا به بارگذاری و اجرای HTML و JS از منابع خارجی بپردازند. معمولا اجازه اجرای JS و HTML از منابع غیرمعتبر به شدت خطرناک است.
این اکسپلویت پس از فعال شدن، دستوری اجرا می‌کند که ابزار شناسایی مشکل مایکروسافت را فعال می‌کند. این ابزار توسط عوامل پشتیبانی و رفع مشکلات در سیستم عامل با کمک دسترسی از راه دور استفاده می‌شود.

هدف اصلی هکر ممکن است دستیابی به کلیدهای خصوصی باشد که در رایانه شخصی کاربران ذخیره شده است. پس از آنکه اجازه دسترسی داده شد، به هیچ عنوان نمی‌توان از سیستم عامل محافظت کرد. تنها روش برای جلوگیری از حذف و از دست رفتن فایل‌ها و اطلاعات مهم و حساس، پاکسازی کامل سیستم است.

آیا این نوع حملات مورد تایید مایکروسافت بوده است؟

در نگاه اول که با این خبر مواجه شدیم، ابتدا پرسیدیم که آیا مایکروسافت در این خصوص بیانیه‌ای داشته است. یوتودی از رشته توییت حسابی با نام Wallet Guard استفاده کرده است. در ادامه این توییت‌ها منابعی از سایت مایکروسافت درج شده است که به یک آسیب پذیری اشاره کرده است.

متن زیر از سایت مایکروسافت (لینک بالا) برداشته شده است که نسبت به اکسپلویت و احتمال حمله هشدار داده شده است.

مهاجمی که با موفقیت بتواند از این آسیب‌پذیری سو استفاده کند، می‌تواند کدهای دلخواه خود را با امکان فراخواندن برنامه‌های مختلف اجرا کند. مهاجم می‌تواند برنامه‌ نصب کند، اطلاعات را مشاهده کرده یا تغییر داده و یا حذف کند. همچنین می‌تواند با استفاده از حقوق کاربر، حساب‌های جدیدی ایجاد کند.

پیشنهاد شده است برای جلوگیری از اجرای این اکسپلویت در رایانه شخصی، از دانلود فایل‌هایی با پسوند rtf، doc و docx از منابع نامعتبر اجتناب شود. خطر اصلی در دانلود فایل‌های .rtf گزارش شده است. این اکسپلویت، اجرای کدها از راه دور را ممکن می‌سازد، بنابراین بسیار خطرناک و جدی است. در این ویدیو یک نمونه از این حمله به صورت ساده نمایش داده شده است که در آن با دانلود یک فایل rtf، ماشین حساب سیستم به صورت خودکار فعال می‌شود.

در همان لینک از سایت Microsift که بالاتر قرار داده شده است، راهکاری برای رفع این مشکل توضیح داده شده است. این راهکار غیر فعال کردن یو آر ال MSDT است. احتمالا در آپدیت بعدی آفیس مایکروسافت، به این آسیب پذیری‌ها رسیدگی شود. با این حال راهکار فعلی این شرکت، غیر فعال کردن URL MSDT و استفاده از سرویس Microsoft Cloud Delivered Protection بوده است.

پرسش و پاسخ

• آیا فایل ورد را دانلود نکنیم؟

حداقل برای مدتی از دانلود فایل ورد از منابع نامعتبر پرهیز کنید. فایل‌هایی با پسوند rtf، doc و docx می‌توانند امنیت سیستم شما را به خطر بیندازند.

• این آسیب پذیری به رمزارزها چه ارتباطی دارد؟

همواره توصیه می‌شود که از ذخیره عبارات بازیابی و کلید خصوصی و اطلاعات حساس دیگر در کامپیوتر خودداری کنید. دسترسی به هرکدام از این فایل‌ها می‌تواند باعث خالی شدن کیف پول شما شود.