دریچه‌‌ای که آفیس بر روی هکرها گشوده است

کمیته رکن چهارم – یک آسیب‌پذیری روز صفر در نرم‌افزار Microsoft Office وجود دارد که در صورت بهره‌برداری موفق، می‌تواند منجر به افشای غیرمجاز اطلاعات حساس شده و محرمانگی را به خطر اندازد.

مایکروسافت در نرم‌افزار آفیس، آسیب‌پذیری با شناسه CVE-2024-38200 و شدت بالا و امتیاز CVSS 7.5 ردیابی کرده‌ که یک نقص افشای اطلاعات (Information Disclosure) ناشی از پردازش نامناسب داده‌ها توسط نرم‌افزار است. مشکل به دلیل یک ورودی ناشناخته ایجاد می‌شود که می‌تواند یک فایل یا داده‌ای باشد که نرم‌افزار Office به طور نادرست آن را پردازش می‌کند.

در سناریوی حمله‌ مبتنی بر وب، مهاجم فایلی را که برای بهره‌برداری از این آسیب‌پذیری طراحی شده است بر روی یک وب‌سایت که خودش میزبان آن است یا وب‌سایتی با قابلیت پذیرش محتوای کاربران که مهاجم آن را تحت کنترل دارد، قرار می‌دهد. سپس باید برای اینکه کاربران از سایت بازدید کنند، اطمینان آنان را از طریق ارسال یک لینک در ایمیل یا پیام فوری، جلب کند تا روی لینک کلیک کرده و سپس فایل مخرب را باز کنند. زمانی که این فایل در نرم‌افزار آفیس باز می‌شود، آسیب‌پذیری فعال شده و امکان افشای اطلاعات حساس فراهم می‌شود.

نسخه‌های ۳۲ بیتی و ۶۴ بیتی نرم‌افزارهای Microsoft Office 2016، Microsoft Office 2019، Microsoft 365 Apps for Enterprise و Microsoft Office LTSC 2021 در معرض این آسیب‌پذیری هستند.

مایکروسافت اعلام کرد به‌زودی برای رفع این آسیب‌پذیری یک به‌روزرسانی رسمی منتشر خواهد شد. اما تا آن زمان، انتشار تدریجی به‌روزرسانی‌ها در مقیاس‌های کوچک (Feature Flighting) را فعال و تأکید کرده که در تمام نسخه‌های پشتیبانی‌شده از آفیس و Microsoft 365 این محافظت به کار گرفته‌ شده ‌است.

مایکروسافت همچنین به کاربران توصیه کرده برای کاهش ریسک های این آسیب‌پذیری این سه استراتژی را اعمال کنند:

پیکربندی تنظیمات “Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers” برای مدیریت و کنترل ترافیک NTLM خروجی به سرورهای راه دور. ترافیک NTLM شامل داده‌هایی است که در فرایند احراز هویت بین سیستم‌ها رد و بدل می‌شود.

افزودن کاربران به گروه امنیتی Protected Users که مانع از استفاده از NTLM به عنوان مکانیزم احراز هویت می‌شود. Protected Users یکی از ویژگی‌های امنیتی ویندوز است که برای محافظت بیشتر از حساب‌های کاربری حساس در برابر تهدیدات امنیتی طراحی شده است. این گروه امنیتی در نسخه‌های جدید ویندوز سرور و کلاینت (ویندوز ۸٫۱ به بعد) معرفی شده است و شامل مجموعه‌ای از محدودیت‌ها و سیاست‌های امنیتی است که به‌طور پیش‌فرض برای اعضای این گروه اعمال می‌شود.

مسدود کردن خروجی TCP 445/SMB از طریق فایروال پیرامونی، فایروال محلی و تنظیمات VPN به منظور جلوگیری از ارسال پیام‌های احراز هویت NTLM به منابع خارجی راه دور.

کارشناسان امنیت سایبری می‌گویند بهره‌برداری از این آسیب‌پذیری بسیار آسان است و بدون نیاز به احراز هویت از راه دور قابل انجام است.

منبع : افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.