مایکروسافت بالاخره راه‌کاری برای کاهش حملات مبتنی بر ویژگی DDE آفیس ارائه داد!

مایکروسافت بالاخره راه‌کاری برای کاهش حملات مبتنی بر ویژگی DDE آفیس ارائه داد!

جمعه, ۱۹ آبان, ۱۳۹۶ ساعت ۱۰:۴۷

 

به رغم تمامی حملاتی که اخیرا مشاهده شد که از ویژگی تبادل داده ی پویا (DDE) در آفیس بهره برداری می کردند و در برخی موارد حتی توزیع باج افزار نیز با این روش مشاهده شد، شرکت مایکروسافت همچنان پافشاری می کند که DDE یک ویژگی در آفیس است و آن را در قالب یک آسیب پذیری وصله نخواهد کرد. 


با این حال، روز چهارشنبه مایکروسافت رضایت داده و راهنمایی را برای مدیران سیستم ارائه کرده و توضیح داده چطور با رجیستری جدید آفیس، این ویژگی را غیرفعال کنند. غیرفعال کردن این ویژگی باعث می شود تا تبادل داده بین برنامه‌های آفیس به‌طور محدودتری انجام شود و این می‌تواند روی برنامه‌های آفیس مخصوصا اکسل تاثیر زیادی بگذارد چرا که یکی از ویژگی‌های بارز اکسل به‌روزرسانی اطلاعات براساس این تبادل داده است.


مایکروسافت می‌گوید DDE پروتکلی است که به برنامه‌های در حال اجرا اجازه می‌دهد در قالب یک حافظه‌ی مشترک، برای یکدیگر پیام ارسال کرده و داده‌های خود را به اشتراک بگذارند. مهاجمان سایبری هم که در ۱۸ ماه گذشته از اسناد آفیس حاوی ماکروهای مخرب برای توزیع بدافزار استفاده می‌کردند، به ویژگی DDE به‌عنوان یک نصب‌کننده‌ی بهره‌برداری و بدافزار علاقه‌مند شده‌اند.


مایکروسافت گفت: «در یک سناریوی حمله که مبتنی بر ایمیل است، مهاجم یک فایل جعلی آفیس را برای قربانی ارسال کرده و او را فریب می‌دهد تا این فایل آلوده را باز کند. مهاجم همچنین نیاز دارد تا کاربر را متقاعد کند تا حالت محافظت‌شده را غیرفعال کند.» مایکروسافت معتقد است توزیع بدافزار از طریق پیوست ایمیل‌ها یکی از روش‌های معمول در این حوزه است و به کاربران توصیه می‌کند در باز کردن این ضمیمه‌ها بسیار هشیار باشند و احتیاط کنند.


در مشاوره‌نامه‌ی مایکروسافت توصیه شده تا کاربران ویژگی‌های امنیتی را در آفیس فعال کنند تا کلیدهای آفیس ۲۰۱۳ و ۲۰۱۶ را کنترل کنند و به‌روزرسانی داده‌ها از فیلدهای لینک را که به‌طور خودکار انجام می‌شود، غیرفعال کنند. مایکروسافت توضیح داده در اکسل چگونه می توان از طریق ویرایشگر رجیستری، ویژگی DDE را غیرفعال کرد. 


مایکروسافت گفت: «غیرفعال کردن این ویژگی در اکسل، باعث می‌شود تا صفحه گسترده‌های این برنامه به‌طور پویا به‌روزرسانی نشوند. برای به‌روزرسانی داده‌ها کاربر باید به‌طور دستی این کار را انجام دهد. همچنین به کاربر اعلانی نمایش داده نخواهد شد که داده‌ها را به حالت دستی به‌روزرسانی کند.»


مایکروسافت توصیه می‌کند کاربران در ویندوز ۱۰ از «ویندوز دیفندر اکسپلویت گارد» برای جلوگیری از آلودگی به بدافزارهای DDE استفاده کنند. مایکروسافت می‌گوید در این راه‌کار امنیتی به‌ویژه مولفه‌ی «کاهش سطح حملات» می‌تواند چنین رفتارهای نابهنجار از سمت اسناد مخرب آفیس را شناسایی کند. این مولفه مانع از این می‌شود که اسناد آفیس بتوانند فایل‌های اجرایی ایجاد کنند، پردازه‌های فرزند ایجاد کرده و یا در پردازه‌هایی تزریق شوند. این مولفه همچنین کدهای ماکرو را مسدود می‌کند.


حملاتی که از ویژگی DDE آفیس استفاده می‌کردند در اواسط ماه اکتبر مورد بررسی قرار گرفته و به مایکروسافت گزارش شد ولی مایکروسافت معتقد است این مسئله یک آسیب‌پذیری نیست و یک ویژگی اسناد آفیس محسوب می‌شود. هفته‌ی قبل موسسه‌ی SANS گزارش داد که ترافیک بات‌نت Necurs افزایش یافته و در این ترافیک از ویژگی DDE برای توزیع باج‌افزار لاکی استفاده می‌شود. حملاتی که از ویژگی DDE استفاده می‌کنند می‌توانند ضدبدافزارها و سیستم‌های تشخیص نفوذ را دور بزنند چرا که این ویژگی در فهرست سفید این ابزارها قرار دارد. 
 

منبع


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهارده + دوازده =