ماکرو‌های مایکروسافت همچنان در خدمت هکر‌ها

خلاصه: محققان اخیراً جزئیات یک نقص امنیتی در همه‌ی نسخه‌های مایکروسافت‌آفیس را گزارش کردند که  به هکرها امکان ساخت یک بدافزار خود‌تکرار کننده مبتنی بر ماکرو را می‌دهد.  مایکروسافت یک مکانیزم امنیتی در MS Office را معرفی کرده است که به‌صورت پیشفرض این قابلیت را محدود می‌کند. اما  این قابلیت قابل فعال‌سازی یا غیرفعال کردن از طریق ویرایش registry ویندوز بوده و در نهایت ماکرو‌ها را قادر می‌سازد تا ماکروهای بیشتری را بدون رضایت کاربر بنویسند. لازم ‌به‌ذکر است که آن را به‌عنوان یک مشکل امنیتی رد کرده و گفته است که این یک ویژگی است.

در اوایل ماه جاری یکی از محققان امنیت سایبری، جزئیات یک نقص امنیتی را گزارش نمود که همه‌ی نسخه‌های مایکروسافت آفیس را تحت تأثیر قرار می‌داد. این نقص به هکرها امکان ساخت یک بدافزار خود‌تکرار کننده مبتنی بر ماکرو را می‌دهد.

این بدافزار مبتنی بر ماکرو که اساساً به یک ماکرو امکان نوشتن ماکروهای بیشتر را می‌دهد، بین هکرها چیز جدیدی نیست. اما برای جلوگیری از این‌گونه تهدیدات، مایکروسافت یک مکانیزم امنیتی در مایکروسافت آفیس را معرفی کرده است که به‌صورت پیشفرض این قابلیت را محدود می‌کند.

یک محقق امنیتی که در InTheCyber کار می‌کند، یک تکنیک ساده که به هر کسی امکان دور زدن کنترل امنیتی فراهم‌شده توسط مایکروسافت و ساختن بدافزار خودتکرار کننده‌ی  پنهان ‌شده در اسناد مایکروسافت ورد را می‌دهد را گزارش کرد.

بدتر از همه این است که مایکروسافت ملاحظه‌ی این مسأله را به‌عنوان یک آسیب‌پذیری امنیتی رد کرد و گفته است که این یک ویژگی است-- همانند ویژگی DDE در MS Office که اکنون به‌صورت فعال توسط هکرها مورد استفاده قرار می‌گیرد.

جالب توجه است که یکی از این بدافزارها در حال تاثیر گذاشتن بر روی سیستم‌ها است و این حتی قبل از افشای عمومی آن بوده است.

Trend Micro اخیر گزارشی را در مورد یک باج‌افزار خود تکرارکننده مبتنی بر ماکرو به نام qkG منتشر کرد که دقیقاً از همان ویژگی مایکروسافت‌آفیس استفاده می‌کند.

محققان Trend Micro نمونه‌های این باج‌افزار را بر روی VirusTotal کشف کردند که توسط شخصی در ویتنام بارگذاری شده بود. و گفته می‌شود که باج‌افزار بیشتر شبیه یک پروژه‌ی آزمایشی است تا یک بدافزار که به‌صورت فعال و گسترده استفاده شود.

آخرین نمونه از باج‌افزار qkG هم‌اکنون شامل یک آدرس بیت‌کوین و یک یادداشت  است که درخواست ۳۰۰ دلار باج می‌کند.

لازم به ذکر است که آدرس بیت‌کوین مربوط به این باج‌افزار هنوز هیچ پرداختی را دریافت نکرده است که ظاهراً به این معنی است که این باج‌افزار هنوز برای هدف قرار دادن افراد استفاده نشده است.

مایکروسافت به‌صورت پیشفرض ماکروهای خارجی را غیرفعال کرده است و همچنین برای محدود کردن دسترسی برنامه‌های پیشفرض به Office VBA، توصیه می‌کند که کاربران به‌صورت دستی «Trust access to the VBA project object model» را هر زمان که لازم باشد فعال کنند.

با فعال‌سازی « Trust access to the VBA project object model» مایکروسافت‌آفیس به همه‌ی ماکروها اعتماد می‌کند و به‌صورت خودکار هر کدی را بدون نشان دادن هشدارهای امنیتی و بدون نیاز به مجوز از طرف کاربر اجرا می‌کند.

محققان متوجه شدند که این قابلیت قابل فعال‌سازی یا غیرفعال کردن از طریق ویرایش registry ویندوز بوده و در نهایت ماکرو‌ها را قادر می‌سازد تا ماکروهای بیشتری را بدون رضایت کاربر بنویسد.

محققان یک فایل سند MS ساختند که ابتدا رجیستری را ویرایش کرده و سپس پیلود ماکرو یکسان (VBA code) را به هر فایل سند که قربانی بر روی سیستمش ساخته یا ویرایش یا بازمی‌کند،  تزریق می‌کند.

اگر قربانی ناخواسته به فایل مخرب امکان اجرای ماکروها را بدهد، سیستم او بر روی حملات مبتنی بر ماکرو باز خواهد ماند.

علاوه بر این قربانی به‌طور ناخواسته با به‌اشتراک گذاشتن هر فایل آلوده از سیستم خود، عهده‌دار توزیع آن کد مخرب خواهد شد.

اگرچه این تکنیک به‌صورت گسترده مورد سوءاستفاده قرار نگرفته است، محققان معتقدند که می‌تواند برای توزیع بدافزارهای خطرناک خود تکرارکننده مورد بهره‌برداری قرار گیرد.

از آن‌جایی که این یک ویژگی قانونی است، بیشتر آنتی‌ویروس‌ها هیچ هشداری را نشان نداده و اسناد مایکروسافت‌آفیس را مسدود نمی‌کنند.

بهترین راه برای محافظت از این بدافزار همیشه این است که نسبت به اسناد ناخواسته فرستاده شده از طریق ایمیل مشکوک بوده و هرگز روی لینک‌های داخل آن اسناد کلیک نکنید مگر اینکه از منبع آن مطمئن باشید.