کمیته رکن چهارم – یک آسیبپذیری روز صفر در نرمافزار Microsoft Office وجود دارد که در صورت بهرهبرداری موفق، میتواند منجر به افشای غیرمجاز اطلاعات حساس شده و محرمانگی را به خطر اندازد.
مایکروسافت در نرمافزار آفیس، آسیبپذیری با شناسه CVE-2024-38200 و شدت بالا و امتیاز CVSS 7.5 ردیابی کرده که یک نقص افشای اطلاعات (Information Disclosure) ناشی از پردازش نامناسب دادهها توسط نرمافزار است. مشکل به دلیل یک ورودی ناشناخته ایجاد میشود که میتواند یک فایل یا دادهای باشد که نرمافزار Office به طور نادرست آن را پردازش میکند.
در سناریوی حمله مبتنی بر وب، مهاجم فایلی را که برای بهرهبرداری از این آسیبپذیری طراحی شده است بر روی یک وبسایت که خودش میزبان آن است یا وبسایتی با قابلیت پذیرش محتوای کاربران که مهاجم آن را تحت کنترل دارد، قرار میدهد. سپس باید برای اینکه کاربران از سایت بازدید کنند، اطمینان آنان را از طریق ارسال یک لینک در ایمیل یا پیام فوری، جلب کند تا روی لینک کلیک کرده و سپس فایل مخرب را باز کنند. زمانی که این فایل در نرمافزار آفیس باز میشود، آسیبپذیری فعال شده و امکان افشای اطلاعات حساس فراهم میشود.
نسخههای ۳۲ بیتی و ۶۴ بیتی نرمافزارهای Microsoft Office 2016، Microsoft Office 2019، Microsoft 365 Apps for Enterprise و Microsoft Office LTSC 2021 در معرض این آسیبپذیری هستند.
مایکروسافت اعلام کرد بهزودی برای رفع این آسیبپذیری یک بهروزرسانی رسمی منتشر خواهد شد. اما تا آن زمان، انتشار تدریجی بهروزرسانیها در مقیاسهای کوچک (Feature Flighting) را فعال و تأکید کرده که در تمام نسخههای پشتیبانیشده از آفیس و Microsoft 365 این محافظت به کار گرفته شده است.
مایکروسافت همچنین به کاربران توصیه کرده برای کاهش ریسک های این آسیبپذیری این سه استراتژی را اعمال کنند:
پیکربندی تنظیمات “Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers” برای مدیریت و کنترل ترافیک NTLM خروجی به سرورهای راه دور. ترافیک NTLM شامل دادههایی است که در فرایند احراز هویت بین سیستمها رد و بدل میشود.
افزودن کاربران به گروه امنیتی Protected Users که مانع از استفاده از NTLM به عنوان مکانیزم احراز هویت میشود. Protected Users یکی از ویژگیهای امنیتی ویندوز است که برای محافظت بیشتر از حسابهای کاربری حساس در برابر تهدیدات امنیتی طراحی شده است. این گروه امنیتی در نسخههای جدید ویندوز سرور و کلاینت (ویندوز ۸٫۱ به بعد) معرفی شده است و شامل مجموعهای از محدودیتها و سیاستهای امنیتی است که بهطور پیشفرض برای اعضای این گروه اعمال میشود.
مسدود کردن خروجی TCP 445/SMB از طریق فایروال پیرامونی، فایروال محلی و تنظیمات VPN به منظور جلوگیری از ارسال پیامهای احراز هویت NTLM به منابع خارجی راه دور.
کارشناسان امنیت سایبری میگویند بهرهبرداری از این آسیبپذیری بسیار آسان است و بدون نیاز به احراز هویت از راه دور قابل انجام است.
منبع : افتانا