بهره‌برداری هکرها از آسیب‌پذیری Equation Editor در آفیس
کد مطلب: 15173
تاریخ انتشار : سه شنبه ۲۱ اسفند ۱۳۹۷ ساعت ۱۳:۱۲
 
هکرها بار دیگر از آسیب‌پذیری Equation Editor در آفیس برای دور زدن ابزار ضدویروس سوءاستفاده کردند.
بهره‌برداری هکرها از آسیب‌پذیری Equation Editor در آفیس
 
 
Share/Save/Bookmark
هکرها بار دیگر از آسیب‌پذیری Equation Editor در آفیس برای دور زدن ابزار ضدویروس سوءاستفاده کردند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هکرها در چندماه اخیر از اسناد طراحی‌شده مایکروسافت‌ word برای سوءاستفاده از باگ سرریز عدد صحیح استفاده‌کرده‌اند که به آنها در دور زدن ابزارهای ضد‌ویروس و سندباکس‌ها و استفاده از آسیب‌پذیری Equation Editor آفیس که ۱۵ ماه پیش رفع شده‌بود، کمک کرده‌‌است.

بر اساس توصیه امنیتی مایکروسافت، این آسیب‌پذیری خرابی حافظه با شناسه CVE-۲۰۱۷-۱۱۸۸۲ شناخته‌‌می‌شود و مایکروسافت آفیس ۲۰۰۷ سرویس پک ۳، مایکروسافت آفیس ۲۰۱۰ سرویس پک ۲، مایکروسافت آفیس ۲۰۱۳ سرویس پک ۱ و مایکروسافت آفیس ۲۰۱۶ را تحت‌تاثیر قرار می‌دهد.

در حالی که این آسیب‌پذیری در بخشی از وصله نوامبر ۲۰۱۷ رفع ‌شد، استفاده‌ موفقیت‌آمیز آن منجر به اجرای كد دلخواه در سطح كاربر فعلی می‌شود، اما اگر کاربر با دسترسی‌های ادمین وارد شده‌باشد امکان در اختیار گرفتن کنترل كامل سیستم‌های آسیب‌دیده را برای مهاجمان فراهم می‌کند.

این نقص می‌تواند برای انتقال هر payload به فایل‌های OLE مورد استفاده قرار‌گیرد، بنابراین می‌تواند تقریبا به تمام آسیب‌پذیری‌های word مرتبط ‌شود. موتورهای تشخیص، گروه مهاجمی را کشف کرده‌اند که از اسناد ویژه مایکروسافت ‌word استفاده می‌کنند تا از روشی که مایکروسافت‌ word خطاهای Overflow Integer در فرمت فایلOLE را مدیریت می‌کند، سوءاستفاده کنند.

هنگامی که باگ سرریز موجود در فرمت فایل OLE و نحوه مدیریت آن در word فعال می‌شود و مهاجمان اکسپلویت Equation Editor را واسطه قرارمی‌دهند، پس از کسب سطح دسترسی ادمین، می‌توانند هربار بدافزاری را از طریق کمک‌گرفتن از آسیب‌پذیری‌های دیگر و یا با استفاده از انتخاب قربانی در استفاده از حساب کاربری با اختیارات کامل منتقل‌کنند.

مایکروسافت این نقص را حل نکرده و شماره CVE نیز به آن اختصاص نداده‌است. پاسخ آنها این بوده که این مسئله از نظر امنیتی نیاز به یک به‌روزرسانی امنیتی ندارد، زیرا این مشکل به تنهایی باعث خرابی حافظه و یا اجرای کد نمی‌شود.
مرجع : مرکز مدیریت راهبردی افتا