کشف آسیب‌پذیری افشای اطلاعات در Microsoft Office

کشف آسیب‌پذیری افشای اطلاعات در Microsoft Office

تاریخ ایجاد

شرکت مایکروسافت به تازگی از یک آسیب‌پذیری روز صفر(Zero-Day) در نرم‌افزار Microsoft Office خبر داده ‌است که در صورت بهره‌برداری موفق، می‌تواند منجر به افشای غیرمجاز اطلاعات حساس شده و محرمانگی را به خطر اندازد. این آسیب‌پذیری با شناسه CVE-2024-38200 و شدت بالا و امتیاز CVSS 7.5 ردیابی شده‌ و یک نقص افشای اطلاعات (Information Disclosure) ناشی از پردازش نامناسب داده‌ها توسط نرم‌افزار می‌باشد. مشکل به دلیل یک ورودی ناشناخته ایجاد می‌شود که می‌تواند یک فایل یا داده‌ای باشد که نرم‌افزار Office به طور نادرست آن را پردازش می‌کند.
در سناریوی حمله‌ی مبتنی بر وب، مهاجم فایلی که برای بهره‌برداری از این آسیب‌پذیری طراحی شده است را بر روی یک وب‌سایت که خودش میزبان آن است یا وب‌سایتی با قابلیت پذیرش محتوای کاربران که مهاجم آن را تحت کنترل دارد، قرار می‌دهد. سپس باید برای اینکه کاربران از سایت بازدید کنند، اطمینان آنان را از طریق ارسال یک لینک در ایمیل یا پیام فوری، جلب کند تا روی لینک کلیک کرده و سپس فایل مخرب را باز کنند. زمانی که این فایل در نرم‌افزار Office باز می‌شود، آسیب‌پذیری فعال شده و امکان افشای اطلاعات حساس فراهم می‌شود.
به گفته‌ی محققان، بهره‌برداری از این آسیب‌پذیری بسیار آسان است و نیازی به احراز هویت ندارد و می‌تواند از راه دور انجام شود.

محصولات تحت تاثیر
نسخه‌های ۳۲ بیتی و ۶۴ بیتی نرم‌افزارهای Microsoft Office 2016، Microsoft Office 2019، Microsoft 365 Apps for Enterprise و Microsoft Office LTSC 2021 آسیب‌پذیر هستند.
 

توصیه‌های امنیتی
مایکروسافت اعلام کرده است که یک به‌روزرسانی رسمی برای رفع این آسیب‌پذیری در تاریخ ۱۳ آگوست منتشر خواهد شد. اما تا آن زمان، انتشار تدریجی به‌روزرسانی‌ها در مقیاس‌های کوچک (Feature Flighting) را فعال و تأکید کرده که در تمام نسخه‌های پشتیبانی‌شده از آفیس و Microsoft 365 این محافظت به کار گرفته‌ شده ‌است. با این حال توصیه می‌شود که برای امنیت بیشتر، کاربران به محض در دسترس بودن به‌روزرسانی نهایی، آن را نصب کنند.
این شرکت همچنین سه استراتژی کاهش خطر را پیشنهاد کرده است:

  •  پیکربندی تنظیمات "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" برای مدیریت و کنترل ترافیک NTLM خروجی به سرورهای راه دور. ترافیک NTLM شامل داده‌هایی است که در فرآیند احراز هویت بین سیستم‌ها رد و بدل می‌شود.
  •  افزودن کاربران به گروه امنیتی Protected Users که مانع از استفاده از NTLM به عنوان مکانیزم احراز هویت می‌شود. Protected Users یکی از ویژگی‌های امنیتی ویندوز است که برای محافظت بیشتر از حساب‌های کاربری حساس در برابر تهدیدات امنیتی طراحی شده است. این گروه امنیتی در نسخه‌های جدید ویندوز سرور و کلاینت (ویندوز 8.1 به بعد) معرفی شده است و شامل مجموعه‌ای از محدودیت‌ها و سیاست‌های امنیتی است که به‌طور پیش‌فرض برای اعضای این گروه اعمال می‌شود.
  • مسدود کردن خروجی TCP 445/SMB از طریق فایروال پیرامونی، فایروال محلی و تنظیمات VPN به منظور جلوگیری از ارسال پیام‌های احراز هویت NTLM به منابع خارجی راه دور.
     

منابع خبر:


[1] https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
[2] https://vuldb.com/?id.274028