تغییر نام پرونده‌های آفیس، روشی برای واردکردن بدافزارهای ماکرو به رایانه‌ها

تیم امنیتی شرکت سیسکو طی یک اطلاعیه اعلام کرد که یک روش جدید مورد استفاده توسط مجرمان فضای مجازی برای پخش بدافزارهای ماکرو را کشف کرده است.

این شرکت طی اخبار خود اعلام کرد که این کشف در مورد یک بخش جدید در نرم‌افزار Office سال ۲۰۰۷ و زمانی است که مسئولان سعی داشتند نمونه‌های جدید فرمت جایگزین فرمت‌های پیش‌فرض کنند.

قبل از سال ۲۰۰۷، تمامی پرونده‌های Microsoft Office دارای پشتیبانی داخلی برای ذخیره و اجرای خودکار اسکریپت‌های ماکرو بودند (برنامه Visual Basic برای برنامه‌های کد). بعد از سال ۲۰۰۷ و با افزودن چندین فرمت جدید، برخی از آن‌ها قابلیت ذخیره کدهای ماکرو را پیدا کردند.

برای مثال، در بخش Word، فرمت‌های DOCX و DOTX اجازه اجرای کدهای ماکرو را نمی‌دهند، در حالی‌که فرمت‌های DOCM و DOTM این قابلیت را دارند. برای شناسایی فرمت‌هایی که قابلیت بازکردن کدهای ماکرو را دارند می‌توان به حرف پایانی نام اصلی پسوند پرونده توجه داشت. پرونده‌هایی که حرف آخر پسوند آن‌ها M باشد، قابلیت اجرای کدهای ماکرو را دارند و پرونده‌هایی که حرف آخر پسوند آن‌ها X باشد، این قابلیت را ندارند.

محققان شرکت سیسکو در این خصوص کشف جالبی داشتند. آن‌ها طی تحقیقات خود دریافتند که اگر یک پرونده با پسوند DOCX و یا DOTX به DOCM یا DOTM تغییر نام پیدا کند، دیگر نمی‌توان به این پرونده بدافزار ماکرو را اضافه کرد. دلیل این امر همخوانی نوع MIME و همچنین نحوه کار ویندوز و آفیس است. بازکردن پرونده‌ای که به این صورت تغییر نام در آن رخ داده باشد، باعث بروز یک خطا می‌شود.

از طرف دیگر، فردی می‌تواند با اجرای برعکس این فرآیند، یعنی تغییر پسوند DOCM یا DOTM به DOCX یا DOTX، باعث حفظ کدهای ماکرو در پرونده اصلی شود. باز کردن پرونده‌ای با چنین مشخصاتی باعث بروز خطا نمی‌شود و در عین حال پرونده با کدهای ماکرو مجاور اجرا می‌شود.

این اتفاق در فرآیند تغییر نام پرونده‌های DOCM و DOTM به RTF نیز رخ می‌دهد. RTF پسوند پرونده‌ای است که هرگز کدهای ماکرو را در خود قرار نداده است. در هنگام تغییر پسوند پرونده از XLSX به CSV نیز همین اتفاق مشاهده شد. CSV مربوط به پرونده‌های متنی است.

پرونده‌های به‌دست‌آمده به این شکل برای اجرا نیاز به باز شدن با یک برنامه آفیس دارند، اما نکته مهم در این خصوص این است که این پرونده‌ها به صورت پیش‌فرض با برنامه آفیس اجرا می‌شوند و آفیس به صورت خودکار فرمت‌های بسیاری از این قبیل را اجرا می‌کند.

محققان شرکت سیسکو در این خصوص بیان کردند:‌ «به طور کلی، برنامه Word مایکروسافت پرونده‌ها را بر اساس اطلاعات موجود در آن‌ها اجرا می‌کند و در این خصوص پسوند نام پرونده‌ها اهمیتی ندارد؛ بنابراین تا زمانی که این بخش از نرم‌افزار آفیس پرونده‌ها را برحسب اطلاعات موجود در آن‌ها باز و اجرا کنند، مشکلی وجود نخواهد داشت.»

مسئله‌ای که باعث بروز مشکل می‌شود، پرونده‌ای با نام WWLIB.DLL است. پسوند DLL توسط برنامه آفیس برای تشخیص اعتبار انواع MIME مورد استفاده قرار می‌گیرد. محققان در این خصوص نیز یادآور شدند: «هنگامی که پسوند پرونده اشاره‌ای به نوع پرونده OOXML نمی‌کند، این مرحله از اعتبار سنجی همواره بی‌اثر خواهد بود. این اتفاق حتی در مورد نوع MIME که در اصل همان نوع OOXML باشد، رخ می‌دهد. این مسئله به این معنی است که پرونده OOXML دارای کدهای ماکرو (DOCM و DOTM) در صورتی که پسوند متفاوتی داشته باشد، با موفقیت اجرا می‌شود.»

مشکلی که در این خصوص وجود دارد این است که مجرمان در فضای مجازی نیز علاوه بر محققان به این مسائل پی برده‌اند. شرکت سیسکو گزارش داده است که چندین پویش توزیع بدافزار از ابتدای سال از این مشکل سوءاستفاده کرده و میزان پخش بدافزارها توسط این پویش‌ها به صورت ماهانه افزایش پیدا می‌کند.

بهترین راه برای رفع این مشکل، از طریق به‌روزرسانی آفیس است. برای این منظور باید دقت شود که پرونده WWLIB.DLL فرآیندهای مربوط به اعتبار سنجی نوع پرونده را انجام می‌دهد. این بخش برای این منظور کافی است که یک خطا یا هشدار اعتبارسنجی را اعلام کرده و از اجرای کدها جلوگیری نماید و به این ترتیب مجرمان را در اجرای کدهای ماکرو در قالب پرونده‌های امن، ناکام بگذارد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]