مركز ماهر هشدار داد

امكان سوءاستفاده از صدمه پذیری در مایكروسافت

امكان سوءاستفاده از صدمه پذیری در مایكروسافت

وب كنفرانس: محققان، صدمه پذیری وصله نشده ای را در خصوصیت ˮOnline Videoˮ مایكروسافت كشف كرده اند كه به مهاجمان، امكان ارسال فایل های مخرب به سیستم قربانی را می دهد.


به گزارش وب كنفرانس به نقل از ایسنا، مركز مدیریت امداد و هماهنگی عملیات رخدادهای كامپیوتری (ماهر) درباره صدمه پذیری MICROSOFT WORD اعلام نمود كه این اشكال هنگامی رخ می دهد كه كاربر، یك ویدئو را با استفاده از خصوصیت "Video Online" در یك سند ‫Word تعبیه كند. این صدمه پذیری در فایل ".xml" وجود دارد كه در آن، پارامتر "embeddedHtml" به یك كد iframe در یوتیوب اشاره دارد. هكرها می توانند كد iframe فعلی یوتیوب را با HTML/JavaScript مخرب كه توسط اینترنت اكسپلورر عرضه می شود، جایگزین كنند.
به نقل از محققان، تغییر پسورد ی ویدئوی یوتیوب جاسازی شده در یك سند Word، برای مهاجمان بسیار آسان است. آن ها فقط باید فایل "document.xml" را ویرایش كنند و لینك ویدئو را با بار مخرب جایگزین كنند.
محققان گمان می كنند كه مهاجمان امكان دارد از این تكنیك برای حملات فیشینگ استفاده كنند، چونكه سند، ویدئوی جاسازی شده با لینك به YouTube را نشان می دهد، در حالیكه امكان دارد یك كد مخفی HTML/JavaScript در پس زمینه اجرا شود و به اجرای كد بیش تر منجر شود.
هكرها جهت استفاده از این حمله، یك لینك ویدئو را داخل سند Word جاسازی كرده و آنرا با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس كاربران را به بازكردن فایل Word ترغیب می كنند. با این ترفند، كاربران هدف امكان دارد هیچ چیز بدبینانه ای را مشاهده نكنند، چونكه بازكردن سند دارای ویدئوی جاسازی شده، هیچ اخطاری تولید نمی كند.
این اشكال بر مایكروسافت آفیس 2016 و تمام نسخه های قبلی دارای خصوصیت "Video Online" تأثیر می گذارد. محققان سه ماه پیش این صدمه پذیری را به مایكروسافت گزارش كردند اما به نظر می آید مایكروسافت قصد ندارد این مشكل را حل كند و اعتقاد دارد نرم افزار Word، تفسیر HTML را به درستی انجام می دهد.
به مدیران شركت ها سفارش می گردد سندهای Word دارای برچسب "embeddedHtml" در فایل "document.xml" اسناد Word را مسدود كنند و پیوست های ای میل ناخواسته را از منابع ناشناخته یا مشكوك باز نكنند.



1397/08/14
14:00:48
5.0 / 5
82
این مطلب را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۶ بعلاوه ۳
WebMeet

webmeet.ir - حقوق مادی و معنوی سایت وب كنفرانس محفوظ است

وب كنفرانس

کنفرانس تحت وب و چت تصویری