info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری خطرناک ۱۷ ساله بر روی آفیس

خلاصه: محققان ادعا می‌کنند که یک آسیب‌پذیری خطرناک از ۱۷ سال قبل بر روی مایکروسافت آفیس وجود داشته و مایکروسافت دیروز آن را وصله کرده است. مهاجم با استفاده از این آسیب‌پذیری می‌تواند هر کد دلخواهی را بر روی سیستم قربانی اجرا کند و با ترکیب این آسیب‌پذیری با چند آسیب‌پذیری دیگر می‌تواند کنترل کاملی بر روی سیستم قربانی داشته باشد.

محققان ادعا می‌کنند که آسیب‌پذیری مایکروسافت ورد که اخیراً وصله شد از ۱۷ سال پیش وجود داشته است.
  مایکروسافت اخیراً ۵۳ وصله‌ی امنیتی را برای ماه نوامبر به عنوان قسمتی از به‌روزرسانی منظم خود منتشر کرد. آسیب‌پذیری CVE-2017-11882  که در این به‌روزرسانی وصله شد از ۱۷ سال گذشته وجود داشته است.

 این وصله که اخیراً منتشر شد آسیب‌پذیری‌هایی را در اینترنت‌ اکسپلورر، آفیس، Edge، هسته‌ی ASP.Net و هسته‌ی Chakra رفع می‌کند. در این به‌روزرسانی ۲۰ آسیب‌پذیری به عنوان بحرانی، ۳۰ آسیب‌پذیری به عنوان بسیار خطرناک و ۳ تا به عنوان خطرناک علامت‌گذاری شده‌اند. سه تا از باگ‌ها اکنون به ‌صورت عمومی شناخته شده هستند اما هیچکدام به عنوان آسیب‌پذیری تحت حمله‌ی فعال دسته‌بندی نشده‌اند و هیچ روز صفرمی در این ماه وجود نداشت.

محققان Embedi، یک شرکت متخصص در امنیت دستگاه‌های تعبیه شده، گزارشی را تحت عنوان رفع شدن آسیب‌پذیری اجرای کد از راه دور ۱۷ ساله در مایکروسافت آفیس منتشر کردند. آن‌ها ادعا می‌کنند که این آسیب‌پذیری وصله نشده بوده و مایکروسافت از آن بی‌خبر بوده است.

آسیب‌پذیری CVE-2017-11882 در نرم‌افزار آفیس وجود دارد و به هکر امکان اجرای کد دلخواه در متن کاربر را می‌دهد. این آسیب‌پذیری می‌تواند با یک حمله‌ی فیشینگ مورد بهره‌برداری قرار گیرد؛ تنها کافی است که قربانی یک فایل مخرب را با یک مایکروسافت آفیس یا یک مایکروسافت WordPad باز کند. در یک حمله‌ی مبتنی بر وب، مهاجم می‌تواند یک وب‌سایت با یک فایل مخرب طراحی‌ شده برای بهره‌برداری از این آسیب‌پذیری را میزبانی کند.

اکسپلویت بهره‌برداری از این آسیب‌پذیری توسط متخصصان Embedi ساخته شده است. این آسیب‌پذیری کار کاربران مایکروسافت آفیس را قطع نمی‌کند. هنگامی که داکیومنت باز شود نیازی به هیچ تعامل دیگری از طرف کاربر نیست.

محققان Embedi این آسیب‌پذیری را در مارس ۲۰۱۷ به مایکروسافت گزارش دادند و وصله‌های نهایی سه شنبه منتشر شده‌اند.

محقق ارشد امنیت  در Rapid7 این آسیب‌پذیری را به ‌عنوان یک آسیب‌پذیری که می‌تواند به‌ طور ویژه خطرناک باشد علامت‌گذاری کرده است.

به‌ طور خلاصه با کمی مهندسی اجتماعی، یک مهاجم می‌تواند به لحاظ نظری  یکی از آسیب‌پذیری‌های RCE مبتنی بر آفیس مانند CVE-2017-11878 یا CVE-2017-11882 را با یک ضعف افزایش امتیاز کرنل ویندوز مانند CVE-2017-11847  ترکیب کند و یک کنترل کامل روی سیستم قربانی به ‌دست آورد.

 

مطالب مرتبط