سئو بوی: محققان، صدمه پذیری وصله نشده ای را در خصوصیت ˮOnline Videoˮ مایکروسافت کشف کرده اند که به مهاجمان، امکان ارسال فایل های مخرب به سیستم قربانی را می دهد.
به گزارش سئو بوی به نقل از ایسنا، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری (ماهر) درباره صدمه پذیری MICROSOFT WORD اعلام نمود که این اشکال هنگامی رخ می دهد که کاربر، یک ویدئو را با استفاده از خصوصیت “Video Online” در یک سند ‫Word تعبیه کند. این صدمه پذیری در فایل “.xml” وجود دارد که در آن، پارامتر “embeddedHtml” به یک کد iframe در یوتیوب اشاره دارد. هکرها می توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر عرضه می شود، جایگزین کنند.
به نقل از محققان، تغییر پسورد ی ویدئوی یوتیوب جاسازی شده در یک سند Word، برای مهاجمان بسیار آسان است. آن ها فقط باید فایل “document.xml” را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند.
محققان گمان می کنند که مهاجمان امکان دارد از این تکنیک برای حملات فیشینگ استفاده کنند، چونکه سند، ویدئوی جاسازی شده با لینک به YouTube را نشان می دهد، در حالیکه امکان دارد یک کد مخفی HTML/JavaScript در پس زمینه اجرا شود و به اجرای کد بیش تر منجر شود.
هکرها جهت استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آنرا با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می کنند. با این ترفند، کاربران هدف امکان دارد هیچ چیز بدبینانه ای را مشاهده نکنند، چونکه بازکردن سند دارای ویدئوی جاسازی شده، هیچ اخطاری تولید نمی کند.
این اشکال بر مایکروسافت آفیس ۲۰۱۶ و تمام نسخه های قبلی دارای خصوصیت “Video Online” تأثیر می گذارد. محققان سه ماه پیش این صدمه پذیری را به مایکروسافت گزارش کردند اما به نظر می آید مایکروسافت قصد ندارد این مشکل را حل کند و اعتقاد دارد نرم افزار Word، تفسیر HTML را به درستی انجام می دهد.
به مدیران شرکت ها سفارش می گردد سندهای Word دارای برچسب “embeddedHtml” در فایل “document.xml” اسناد Word را مسدود کنند و پیوست های ای میل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.



You may also like