20 - 08 - 2018

حزمة "أوفيس" يمكن أن تشكل واحدة من أبرز المخاطر على المستخدم

حزمة

جميعنا تقريباً يستخدم حزمة البرامج المكتبية "مايكروسوفت أوفيس"، سواء كانت مستندات عمل، أو فواتير إلكترونية، عقد تأجير لشقة جديدة؛ تعتبر حزمة البرامج والأدوات المكتبية "مايكروسوفت أوفيس" ذات فائدة كبيرة لنا جميعاً، وهذا أحد الأسباب التي تدفعنا لفتح مستند أوفيس يصلنا كملف مرفق في رسائل البريد الإلكتروني. وعادة ما يختار المهاجمون هذه المستندات لشن الهجمات الخبيثة التي تستهدف أجهزة المستخدمين مسلحين انطلاقاً من ثقتهم بميل العديد من المستخدمين لفتح إي مستند يصلهم تقريباً، حتى تلك التي تصل من مصادر غير موثوقة.

وسلطت اليوم شركة بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي من الحلول الأمنية، الضوء على أساليب مختلفة يمكن من خلالها استغلال مستندات أوفيس وإساءة استخدامها لاستهداف الأجهزة الطرفية العاملة بنظام التشغيل ويندوز، وهي:

- أدوات الماكرو

تعتبر أدوات الماكرو Macros من الأساليب المباشرة التي يستخدمها المهاجمون لاستغلال مستندات أوفيس كأدوات هجومية خبيثة. وتمتاز برامج أوفيس بأدوات برمجية مدمجة قادرة على تشغيل نصوص تطبيقات فيجوال بيسك VBA. ويتم تفعيل هذه النصوص تلقائياً فور فتح المستندات، دون أي تدخل من المستخدم (على افتراض أن المستخدم قام بتفعيل أدوات الماكرو مسبقاً) لتقوم بتشغيل أكواد خبيثة على النظام. وفي حال عدم تفعيل أدوات الماكرو على النظام، ستظهر نافذة منبثقة تطلب من المستخدم النقر لتفعيل هذه الأدوات. وتعتبر النافذة المنبثقة واحدة من آليات الحماية المتعددة التي تعتمدها مايكروسوفت للتخفيف من المخاطر الأمنية المرافقة لاستخدام وحدات الماكرو. كما تقوم مايكروسوفت باستخدام لاحقة ملفات مختلفة (مثل .docm عوضاً عن .docx للمستندات الجديدة التي تحتوي على أدوات الماكرو).

- ملفات الفلاش المدمجة

إلى جانب الإمكانيات المدمجة كأدوات المايكرو، يمكن أن تتضمن ملفات أوفيس إضافات خارجية مدمجة كملفات أدوبي فلاش. ويتم إيصال هذه الإضافات إلى البرامج المناسبة للتعامل معها، وبالتالي يمكن استغلال أي ثغرة في البرنامج لتضمين الملفات الخبيثة ضمن محتوى أدوبي فلاش في ملفات الأوفيس. ومن الأمثلة على مثل هذه الهجمات التي يستغلها المهاجمون هي الثغرة المعروفة باسم "CVE-2018-4878" في مشغل أدوب فلاش بلاير زيرو داي، والتي تعمل على استغلال المشغل عبر إرفاق ملفات SWF ضمن ملفات إكسل. وفي مثل هذه الأنواع من الهجمات، فإن ملف إكسل الخبيث يتضمن محتوى أدوبي فلاش والذي يمكن يتسبب بثغرة في مشغل الفلاش لتحميل شيل كود Shellcode الذي يمكن المهاجم من السيطرة على جهاز المستخدم.

- أداة محرر المعادلات من مايكروسوفت

بأسلوب مماثل لإرفاق ملفات أدوبي فلاش على مستند أوفيس، بالإمكان أيضاً إرفاق معادلات في المستندات التي سيتم تحليلها من قبل أداة مايكروسوفت لتحرير المعادلات – البرمجية التي تتيح إمكانية كتابة معادلات رياضية.

وباعتبار أن أداة مايكروسوفت لتحرير المعادلات تعمل بقدرة المعالجة الخاصة بها (eqnedt32.exe) فإن قدرات الحماية الخاصة بحزمة برامج مايكروسوفت أوفيس مثل EMET، و Windows Defender Exploit Guardلا تتسم بالفعالية التامة بشكل قياسي، نظراً لأنها توفر الحماية فقط لعمليات مايكروسوفت أوفيس (مثل: winword.exe).

على الرغم من أن الهجمات التي تتم عبر استغلال الملفات تعتبر من الهجمات الإلكترونية الشائعة لأكثر من عقد من الزمن، إلا أننا شهدنا مؤخرًا في ارتفاعاً في شعبية وتعقيد هذه الهجمات. ويمكن أن يُعزى هذا الارتفاع نتيجة لازدياد صعوبة استغلال متصفحات الإنترنت نظراً للجهود التي تبديها الشركات المطورة لهذه المتصفحات. وبغض النظر عن الأسباب، من الهام جداً أن تتمتع المؤسسات بالمعرفة والوعي بأساليب الدفاع والحماية ضد هذه التهديدات الشائعة.

وتوفر برمجيات الحماية المتقدمة Traps من بالو التو نتوركس للأجهزة الطرفية عدة أساليب للوقاية من البرمجيات الخبيثة واستغلال الثغرات للوقاية من التهديدات التالية:

- فحص وحدات الماكرو: تعمل برمجيات الحماية Traps على فحس كافة ملفات ومستندات أوفيس والبحث عن وحدات الماكرو الخبيثة باستخدام منصة استقصاء التهديدات السحابية WildFire وتقنيات تعلم الآلات بهدف منع فتح الملفات الخبيرة من قبل المستخدم.

- الوقاية من استغلال الثغرات: تعمل قدرات الوقاية من استغلال الثغرات المتقدمة لبرمجيات الحماية Traps على منع محاولات الاستغلال هذه النجاح في تشغيل أكواد "شيل" الخبيثة على الجهاز الطرفي المستهدف.

وتعتبر Traps من برمجيات مراقبة أدوات وتطبيقات أوفيس وتعمل على ضمان الاستخدام الشرعي للعمليات المدمجة وعدم استغلال الثغرات فيها.

أهم الأخبار

الشفايف المكتنزة وردية اللون دقيقة تجميل مع د فادي نصر