کشف آسیبپذیری افشای اطلاعات در Microsoft Office
شرکت مایکروسافت به تازگی از یک آسیبپذیری روز صفر(Zero-Day) در نرمافزار Microsoft Office خبر داده است که در صورت بهرهبرداری موفق، میتواند منجر به افشای غیرمجاز اطلاعات حساس شده و محرمانگی را به خطر اندازد. این آسیبپذیری با شناسه CVE-2024-38200 و شدت بالا و امتیاز CVSS 7.5 ردیابی شده و یک نقص افشای اطلاعات (Information Disclosure) ناشی از پردازش نامناسب دادهها توسط نرمافزار میباشد. مشکل به دلیل یک ورودی ناشناخته ایجاد میشود که میتواند یک فایل یا دادهای باشد که نرمافزار Office به طور نادرست آن را پردازش میکند.
در سناریوی حملهی مبتنی بر وب، مهاجم فایلی که برای بهرهبرداری از این آسیبپذیری طراحی شده است را بر روی یک وبسایت که خودش میزبان آن است یا وبسایتی با قابلیت پذیرش محتوای کاربران که مهاجم آن را تحت کنترل دارد، قرار میدهد. سپس باید برای اینکه کاربران از سایت بازدید کنند، اطمینان آنان را از طریق ارسال یک لینک در ایمیل یا پیام فوری، جلب کند تا روی لینک کلیک کرده و سپس فایل مخرب را باز کنند. زمانی که این فایل در نرمافزار Office باز میشود، آسیبپذیری فعال شده و امکان افشای اطلاعات حساس فراهم میشود.
به گفتهی محققان، بهرهبرداری از این آسیبپذیری بسیار آسان است و نیازی به احراز هویت ندارد و میتواند از راه دور انجام شود.
محصولات تحت تاثیر
نسخههای ۳۲ بیتی و ۶۴ بیتی نرمافزارهای Microsoft Office 2016، Microsoft Office 2019، Microsoft 365 Apps for Enterprise و Microsoft Office LTSC 2021 آسیبپذیر هستند.
توصیههای امنیتی
مایکروسافت اعلام کرده است که یک بهروزرسانی رسمی برای رفع این آسیبپذیری در تاریخ ۱۳ آگوست منتشر خواهد شد. اما تا آن زمان، انتشار تدریجی بهروزرسانیها در مقیاسهای کوچک (Feature Flighting) را فعال و تأکید کرده که در تمام نسخههای پشتیبانیشده از آفیس و Microsoft 365 این محافظت به کار گرفته شده است. با این حال توصیه میشود که برای امنیت بیشتر، کاربران به محض در دسترس بودن بهروزرسانی نهایی، آن را نصب کنند.
این شرکت همچنین سه استراتژی کاهش خطر را پیشنهاد کرده است:
پیکربندی تنظیمات “Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers” برای مدیریت و کنترل ترافیک NTLM خروجی به سرورهای راه دور. ترافیک NTLM شامل دادههایی است که در فرآیند احراز هویت بین سیستمها رد و بدل میشود.
افزودن کاربران به گروه امنیتی Protected Users که مانع از استفاده از NTLM به عنوان مکانیزم احراز هویت میشود. Protected Users یکی از ویژگیهای امنیتی ویندوز است که برای محافظت بیشتر از حسابهای کاربری حساس در برابر تهدیدات امنیتی طراحی شده است. این گروه امنیتی در نسخههای جدید ویندوز سرور و کلاینت (ویندوز 8.1 به بعد) معرفی شده است و شامل مجموعهای از محدودیتها و سیاستهای امنیتی است که بهطور پیشفرض برای اعضای این گروه اعمال میشود.
مسدود کردن خروجی TCP 445/SMB از طریق فایروال پیرامونی، فایروال محلی و تنظیمات VPN به منظور جلوگیری از ارسال پیامهای احراز هویت NTLM به منابع خارجی راه دور.