By | November 24, 2017

מומחי אבטחה דיווח על פגיעות אשר משפיע על כל הגירסאות של Microsoft Office אשר ניתן לנצלה על ידי האקרים עבור תוכנה זדונית המשכפלת מתפשטת מבוסס-מאקרו.

הנחמה על הפגם, מיקרוסופט ליישם מנגנון אבטחה ב- MS Office, אשר מונע את סוג כזה של התקפות. עם זאת, למרות מנגנון חדש, חוקר של חברת InTheCyber מצא שיטת ההתקפה כדי לעקוף את הפקד אבטחה וליצור תוכנה זדונית המשכפלת מוסתרים ב- MS מסמכי Word.

Microsoft קיבל מידע על הפגם באוקטובר, אולם, התאגיד לא להביא בחשבון את בעיית פגיעות אבטחה, הסביר כי התכונה מנוצל על ידי המומחה יושם לעבודה בדיוק בדרך זו.

מה יותר גרוע, הוא כי האקרים הם כבר ניצול שהתקיפה זהה אשר דווח למיקרוסופט. לפני כמה ימים מומחי אבטחה של Trend Micro מפורט שנתגלתה לאחרונה מבוססי מאקרו המשכפלת ransomware הנקרא ‘qkG’ אשר מנצל את הפגם MS office.

“בחינה נוסף לתוך qkG גם מראה שזה יהיה יותר של פרוייקט ניסיוני או הוכחת הרעיון (PoC) ולא תוכנות זדוניות בשימוש פעיל בטבע. זה, עם זאת, לא הופך qkG פחות של איום. כפי שמתואר הדגימות qkG, התנהגויות וטכניקות שלה יכול להיות יסודי על ידי המפתחים שלה או שחקנים איום.” ניתוח הנתונים שפורסמו על-ידי Trend Micro קורא.

Ransomware qkG מסתמך על הטכניקה מאקרו VBA קרוב אוטומטי שיש להפעיל מאקרו זדונית כאשר הקורבן סגירת המסמך.

הגרסה הראשונה של ransomware qkG כלל כתובת ביטקוין, בדיוק כמו הדוגמה העדכנית ביותר של איום אשר דורש כופר של 300 דולר ב BTC. על פי חוקרי האבטחה, הכתובת ביטקוין לא קיבלה כל תשלום ובכל זאת, טוען כי האקרים לא התפשטה התוכנה הזדונית ברחבי העולם עדיין.

המומחים גם מצאו כי ransomware qkG כעת משתמש בקידוד קשיח הסיסמה “אני QkG@PTM17! על-ידי TNA@MHT-TT2” המאפשר כדי לפענח את הקבצים.

חברת Microsoft יש שאינם מהימנים פקודות מאקרו חיצוני כברירת מחדל, כדי להגביל גישה תוכניתית ברירת המחדל למודל האובייקטים של פרוייקט Office VBA. באופן ידני משתמשים יכולים לאפשר “תן אמון בגישה למודל האובייקטים של פרוייקט VBA,” אם יש צורך.

ברגע הגדרת “תן אמון בגישה למודל האובייקטים של פרוייקט VBA” מופעלת, MS Office נותן אמון בכל פקודות המאקרו ופועל באופן אוטומטי כל קוד ללא מציג כל אזהרת אבטחה או דרישת אישור המשתמש.

המשתמשים יכולים גם הגדרת בעלי מוגבלויות “תן אמון בגישה למודל האובייקטים של פרוייקט VBA” enabled/ על-ידי עריכת הרישום של Windows, בסופו של דבר המאפשר את פקודות המאקרו לכתוב פקודות מאקרו נוסף ללא הסכמה של המשתמש וידע.

הטכניקה התקפה הומצא על ידי החוקר Lino אנטוניו בונו ורואה אותו רק האקרים הטעיית קורבנות לתוך להפעיל פקודות מאקרו הכלולים במסמך פיתיון.

“על מנת לטפל בפגיעות (חלקית) זה אפשרי להעביר את מפתח הרישום AccessVBOM הכוורת HKCU HKLM, שהופך אותו לעריכה רק על ידי המערכת מנהל. בונו אומר.

Leave a Reply

Your email address will not be published. Required fields are marked *