PB تك
اكتشف Jerome Segura ، أحد كبار الباحثين في مجال الأمان الذي يعمل مع Malwarebytes ، طريقة للالتفاف حول الحماية الأمنية في Microsoft Office من خلال استخدام ناقل هجوم لا يتطلب وحدات ماكرو. يأتي هذا في أعقاب اكتشاف باحثين آخرين مؤخرًا طرقًا لاستخدام اختصارات الماكرو لإساءة استخدام قواعد بيانات Access.
من خلال تضمين ملف إعدادات في مستند Office ، يمكن للمهاجمين استخدام الهندسة الاجتماعية لدفع المستخدمين إلى تشغيل تعليمات برمجية خطيرة دون مزيد من الإشعارات. عندما تعمل التقنية ، لا يظهر Windows أي رسائل خطأ. حتى الأشياء المبهمة يمكن تجاوزها ، مما يساعد على إخفاء حقيقة أن أي شيء يحدث.
يحتوي تنسيق الملف الخاص بنظام التشغيل Windows 10 على رمز XML الذي يمكنه إنشاء اختصارات للتطبيقات الصغيرة في لوحة التحكم. هذا التنسيق ، .SettingContent.ms ، لم يكن موجودًا في الإصدارات السابقة من Windows. نتيجة لذلك ، يجب ألا يكونوا عرضة لهذا الاستغلال على حد علم الباحثين.
أولئك الذين نشروا Office باستخدام طبقة توافق تطبيق Wine يجب ألا يواجهوا مشاكل أيضًا ، بغض النظر عما إذا كانوا يستخدمون GNU / Linux أو macOS. ومع ذلك ، يمكن أن يؤدي أحد عناصر XML التي يحملها هذا الملف إلى إحداث فوضى مع أجهزة Windows 10 التي تعمل على المعدن.
DeepLink ، كما يُعرف العنصر ، يسمح بتنفيذ الحزم الثنائية القابلة للتنفيذ حتى لو كانت تحتوي على مفاتيح ومعلمات بعدها. يمكن للمهاجم استدعاء PowerShell ثم إضافة شيء بعده حتى يتمكنوا من البدء في تنفيذ تعليمات برمجية عشوائية. إذا كانوا يفضلون ، فيمكنهم حتى استدعاء مترجم الأوامر القديم الأصلي واستخدام نفس البيئة التي قدمها سطر أوامر Windows للمبرمجين منذ الإصدارات الأولى من NT kernel.
نتيجة لذلك ، يمكن للمهاجم المبدع أن يصنع مستندًا يبدو شرعيًا ويتظاهر بأنه شخص آخر من أجل حمل الأشخاص على النقر فوق ارتباط عليه. يمكن أن يعتاد هذا ، على سبيل المثال ، لتنزيل تطبيقات التشفير على جهاز الضحية.
قد يرغبون أيضًا في إرسال ملف عبر حملة بريد عشوائي كبيرة. اقترح Segura أن هذا من شأنه أن يضمن عدم سقوط هجمات الهندسة الاجتماعية الكلاسيكية عن الأنماط قريبًا. في حين أن مثل هذا الملف يجب أن يتم توزيعه على عدد لا يحصى من المستخدمين من أجل ضمان أن القليل منهم سيسمح بتنفيذ الكود ، يجب أن يكون هذا ممكنًا عن طريق إخفاءه كشيء آخر.
