آسیب‌پذیری وصله‌نشده‌ی DDE در مایکروسافت ورد، در حملات گسترده‌ی بدافزاری مورد بهره‌برداری قرار می‌گیرد

روش حمله ی وصله نشده ی جدید، که از ویژگی موجود در مایکروسافت آفیس بهره برداری می کند، در پویش های حملات بدافزاری گسترده، استفاده می شود. هفته ی گذشته گزارش دادیم که، نفوذگران چگونه می توانند با استفاده از یک ویژگی قدیمی مایکروسافت آفیس به نام تبادل داده ی پویا (DDE) ، کدهای مخرب را بدون نیاز به فعال سازی ماکروها یا خرابی حافظه در دستگاه هدف، اجرا کنند.

پروتکل تبادل داده‌ی پویا یکی از روش هایی است که مایکروسافت استفاده می کند، تا به دو برنامه ی در حال اجرا اجازه دهد، داده های مشابهی را به اشتراک بگذارند. هزاران برنامه، از جمله مایکروسافت اکسل، مایکروسافت ورد، Quattro Pro، و ویژوال بیسیک برای انتقال داده‌ها به یک‌باره و تبادل پیوسته برای ارسال به‌روزرسانی‌ها به یکدیگر، استفاده می‌شوند.

روش بهره‌برداری تبادل داده‌ی پویا هیچ هشدار امنیتی به قربانیان نشان نمی‌دهد، مگر این‌که از آن‌ها بخواهید که اگر برنامه‌های مشخص‌شده در دستور را اجرا کنند، هشدار دهند، هر چند این هشدار پاپ‌آپ نیز می‌تواند با اصلاح نحوی مناسبی حذف شود. کمی پس از انتشار عمومی جزئیات روش حمله تبادل داده‌ی پویا، گروه تحقیقاتی تهدید تلوی سیسکو گزارشی درباره‌ی یک پویش حمله منتشر کرد، که به طور فعال از این روش حمله، برای هدف قرار دادن چندین سازمان با یک بدافزار دسترسی از راه دور (RAT) به نام DNAMessenger بهره‌برداری می‌کند.

بات‌نت Necures از حمله‌ی تبادل داده‌ی پویا برای انتشار باج‌افزار لاکی استفاده می‌کند.
شرکت SANS ISC گزارش داد که اکنون، نفوذگران از بات‌نت Necurs، بدافزاری که در حال حاضر بیش از ۶میلیون کامپیوتر آلوده در سراسر جهان را کنترل می‌کند و میلیون‌ها ایمیل ارسال می‌کند، استفاده می‌کنند تا باج‌افزار لاکی و تروجان بانکی تریک‌بات را با استفاده از اسناد ورد که از تکنیک حمله‌ی تبادل داده‌ی پویا جدید استفاده می‌کند، توزیع کنند. 

نفوذگران باج‌افزار لاکی قبلا به اسناد مایکروسافت مخرب مبتنی بر ماکرو متکی بودند، اما در حال حاضر بات‌نت Nercus را به‌روزرسانی کرده‌اند تا بدافزار را با بهره‌برداری از تبادل داده‌ی پویا انتقال دهند و امکان گرفتن تصویر از دسکتاپ قربانیان را داشته باشند.

سیمانتیک در یک پست وبلاگی گفت: «این بات‌نت می‌تواند از صفحه عکس بگیرد و برای یک سرور راه دور ارسال کند. همچنین یک قابلیت گزارش خطا وجود دارد که جزئیاتی درباره‌ی هر خطایی که دانلودکننده، هنگام تلاش برای انجام فعالیت‌های خود با آن مواجه می‌شود را ارسال می‌کند.» یکی دیگر از پویش‌های اسپم بدافزار که توسط محققان امنیتی کشف شد، بدافزار Hancitor (که با نام‌های Chanitor و Tordal شناخته شده) را با استفاده از بهره‌برداری تبادل داده‌ی پویا مایکروسافت آفیس توزیع می‌کند.

بدافزار Hancitor یک دانلودکننده است که بارهای داده‌ی مخرب مانند تروجان‌های بانکداری، بدافزار و باج‌افزار سرقت داده را روی ماشین‌های آلوده نصب می‌کند و معمولا آن‌ها را به عنوان یک سند مایکروسافت آفیس با ماکروی فعال، در ایمیل‌های فیشینگ انتقال می‌دهد.

چگونه خود را در برابر حملات تبادل داده‌ی پویا ورد محافظت کنید؟
به دلیل اینکه تبادل داده‌ی پویا یک ویژگی قانونی مایکروسافت است، اکثر آنتی‌ویروس‌ها هیچ گونه هشداری نمی‌دهند و یا اسناد مایکروسافت آفیس با فیلدهای تبادل داده‌ی پویا را مسدود نمی‌کنند، و شرکت فن‌آوری نیز هیچ برنامه‌ای برای انتشار یک وصله که عملکرد آن را حذف کند، ندارد.

 بنابراین شما می‌توانید با غیرفعال کردن گزینه «باز بودن لینک‌های به‌روزرسانی خودکار» در برنامه‌های مایکروسافت آفیس، از خود و سازمان خود در برابر چنین حملاتی محافظت کنید.

با این حال، بهترین راه برای محافظت از خود در برابر چنین حملاتی این است که، همیشه به هر سند ناخوانده‌ای که از طریق ایمیل ارسال شده، مشکوک باشید و هرگز روی لینک‌های داخل این اسناد کلیک نکنید، مگر اینکه منبع آن کاملا مورد تایید شما باشد.

منبع