سوء استفاده از یک ویژگی موجود در مایکروسافت آفیس برای ایجاد یک بدافزار خود تکثیرکننده

کمیته رکن چهارم – در اوایل ماه جاری یک پژوهش‌گر امنیتی جزئیات یک حفره‌ی امنیتی را با وب‌گاه خبری The Hacker News در میان گذاشت که تمام نسخه‌های مایکروسافت آفیس را تحت تاثیر قرار می‌دهد، این حفره‌ی امنیتی به عاملان مخرب اجازه می‌دهد که یک بدافزار مبتنی‌بر ماکرویِ خود تکثیرکننده (self-replicating) را ایجاد و توزیع کنند.

استفاده از یک بدافزار خود تکثیرکننده‌ی مبتنی‌بر ماکرو که اساسا به یک ماکرو اجازه می‌دهد که ماکروهای بیشتری بنویسد، در میان نفوذگران جدید نیست، اما در حال حاضر مایکروسافت برای جلوگیری از چنین تهدیداتی یک ساز و کار امنیتی در مایکروسافت آفیس معرفی کرده است که به صورت پیش‌فرض این عملکرد را محدود می‌کند.

یک پژوهش‌گر ایتالیایی به نام Lino Antonio Buono که در شرکت InTheCyber کار می‌کند، یک روش ساده ارائه کرده است که به هرکسی اجازه می‌دهد که کنترل‌های امنیتی که توسط مایکروسافت ایجاد شده‌اند را دور بزند و بدافزار‌ خود تکثیرکننده‌ای را ایجاد کند که پشت اسناد وُرد مایکروسافت که غیرمخرب به نظر می‌رسند، پنهان می‌شود.

خبر بدتر این است که وقتی این پژوهش‌گر در ماه اکتبر سال جاری با مایکروسافت تماس گرفت، این شرکت این ویژگی را به عنوان یک حفره‌ی امنیتی نپذیرفت؛ دقیقا مانند ویژگی DDE مایکروسافت آفیس که در حال حاضر به طور فعال توسط نفوذگران مورد استفاده قرار می‌گیرد.

یک باج‌افزار جدید به نام qkG از همان روش خود تکثیر‌کننده‌ی فوق‌الذکر استفاده می‌کند.

جالب توجه است که یک بدافزار از همین روش برای آسیب‌ رساندن به سامانه‌های قربانی استفاده می‌کند. احتمالا عاملان مخربی که پشت این بدافزار هستند، قبل از افشاء عمومی این حفره‌ی امنیتی از آن بهره‌برداری کرده‌اند.

هفته‌ی گذشته، شرکت ترند میکرو یک گزارش درباره‌ی یک باج‌افزار خود تکثیرکننده‌ی مبتنی‌بر ماکرو به نام «qkG» منتشر کرد، که دقیقا از همین ویژگی مایکروسافت آفیس که Buono به آن اشاره کرده بود، بهره‌برداری می‌کند.

پژوهش‌گران ترند میکرو نمونه‌هایی از باج‌افزار qkG را روی وب‌گاه VirusTotal شناسایی کردند که توسط فردی از ویتنام بارگذاری شده بود، این پژوهش‌گران می‌گویند: «به نظر می‌رسد این باج‌افزار بیشتر از یک پروژه‌ی آزمایشی یا روش بهره‌برداری ساده باشد، و احتمالا بدافزاری است که به طور فعال در سراسر جهان مورد استفاده قرار می‌گیرد.»

باج‌افزار qkG از ماکروی Auto Close VBA استفاده می‌کند، در این روش وقتی قربانی این سند را بست، به ماکروهای مخرب اجازه داده می‌شود که اجرا شوند.

در حال حاضر آخرین نمونه از باج‌افزار qkG شامل یک آدرس بیت‌کوین با یک یادداشت باج‌خواهی است که مبلغ ۳۰۰ دلار در قالب بیت‌کوین درخواست می‌کند.

لازم به ذکر است که هنوز به آدرس بیت‌کوین فوق‌الذکر هیچ مبلغی واریز نشده است، یعنی این باج‌افزار هنوز هیچ کسی را هدف قرار نداده است.

علاوه‌بر این، در حال حاضر این باج‌افزار از گذرواژه‌ی مشترک «I’m QkG@PTM۱۷! by TNA@MHT-TT۲» که به صورت ثابت در کد آن (هاردکد) قرار داده شده است استفاده می‌کند و با این گذرواژه می‌توان پرونده‌های آسیب‌دیده را رمزگشایی کرد.

شرکت مایکروسافت به منظور محدود کردن دسترسیِ برنامه‌ای پیش‌فرض به مدل شیء پروژه‌ی VBA آفیس، به صورت پیش‌فرض ماکروهای خارجی (یا غیرقابل اعتماد) را غیرفعال کرده است، این شرکت همچنین به کاربران توصیه کرده است در صورت نیاز به صورت دستی گزینه‌ی «اعتماد به دسترسی به مدل شیء پروژه‌ی VBA» را فعال کنند.

با فعال بودن گزینه‌ی «اعتماد به دسترسی به مدل شیء پروژه‌ی VBA» مایکروسافت آفیس به تمام ماکروها اعتماد می‌کند و به صورت خودکار هر کدی را بدون نمایش هشدارهای امنیتی یا درخواست مجوز کاربر اجرا می‌کند.

Buono متوجه شد فقط با ویرایش یک رجیستری ویندوز، می‌توان این گزینه را فعال یا غیرفعال کرد، و این مسأله ماکروها را قادر می‌سازد تا ماکروهای بیشتری را بدون اطلاع و مجوز کاربر ایجاد کنند.

برای سوء استفاده از این حفره‌ی امنیتی یک مهاجم به راحتی می‌تواند، ابتدا رجیستری ویندوز را ویرایش کرده و سپس یک بارداده‌ی ماکرو (کد VBA) را به تمام پرونده‌های doc اضافه ‌کند که یک قربانی در سامانه‌ی خود ایجاد، ویرایش و یا فقط باز می‌کند.

قربانیان به طور ناخودآگاه به توزیع بیشتر بدافزار کمک می‌کنند.

به عبارت دیگر، اگر قربانی به اشتباه به یک پرونده‌ی doc اجازه دهد که یک بار ماکروها را اجرا کند، سامانه‌ی او در برابر حملات مبتنی‌بر ماکرو آسیب‌پذیر باقی می‌ماند.

علاوه‌بر این، قربانی به طور ناخودآگاه با به‌اشتراک‌گذاری هر پرونده‌ی آفیس آسیب‌دیده از سامانه‌ی خود با کاربران دیگر، همان کد مخرب را توزیع می‌کند.

این روش حمله زمانی نگران‌کننده‌تر می‌شود که شما یک پرونده‌ی doc مخرب را از یک مخاطب مورد اعتماد خود دریافت می‌کنید که قبلا تحت تاثیر یک بدافزار قرار گرفته‌ است، و در نهایت شما نیز به یک بردار حمله برای دیگران تبدیل می‌شوید.

اگرچه هنوز این روش هیچ به صورت گسترده‌ای مورد بهره‌برداری قرار نگرفته است، اما این پژوهش‌گر معتقد است که مهاجمان می‌توانند از این شیوه‌ی حمله برای توزیع بدافزار‌های خود تکثیر‌کننده‌ی خطرناکی استفاده کنند که شناسایی و مقابله با آن‌ها بسیار سخت است.

از آن‌جایی که این یک ویژگی قانونی است، بسیاری از راه‌حل‌های ضدبدافزار هیچ هشداری در رابطه با آن صادر نکرده و اسناد مایکروسافت آفیس که دارای کد VBA هستند را مسدود نمی‌کنند، شرکت مایکروسافت نیز هیچ برنامه‌ای برای ارائه‌ی یک وصله‌ی امنیتی که این ویژگی را محدود کند، ندارد.

Buono گفت: «کاربران می‌توانند به منظور به حداقل رساندن تاثیر این آسیب‌پذیری، کلید رجیستری AccessVBOM را از قسمت HKCU به HKLM منتقل کنند، با انجام این کار این کلید رجیستری فقط توسط مدیر سامانه قابل ویرایش می‌شود.»

بهترین راه برای محافظت از خود در برابر چنین بدافزارهایی این است که همیشه نسبت به تمام اسناد ناخواسته‌ای که از طریق یک رایانامه ارسال می‌شوند، مشکوک باشید و هرگز روی پیوندهایی که در این اسناد قرار دارند کلیک نکنید، مگر این‌که به طور دقیق منبع آن‌را بررسی و تایید کنید.

منبع : news.asis.io