ارائه‌ی روش‌هایی برای کاهش حملات DDE توسط مایکروسافت

با وجود حملات شدیدی که از فیلدهای تبادل داده‌ی پویای (Dynamic Data Exchange) موجود در برنامه‌ی آفیس، از جمله برای گسترش برخی باج‌افزارهای مخرب استفاده می‌کنند، مایکروسافت همچنان اصرار دارد که DDE یک ویژگی محصول است و آن را به عنوان یک آسیب‌پذیری نمی‌شناسد!

مایکروسافت روز چهارشنبه در مورد نحوه‌ی غیرفعال کردن این ویژگی از طریق تنظیمات رجیستری آفیس، راهنمایی‌هایی در اختیار مدیران قرار داد. در هر یک از این موارد اخطار داده شده که  داده‌های بین برنامه‌ها به صورت خودکار به‌روزرسانی نمی‌شوند. و این مساله ممکن است کاربران اکسل  (Excel)، و به خصوص افرادی را که برای به‌روز نگه داشتن خودکار صفحات گسترده به این جریان زنده‌ی داده‌ها متکی هستند، تحت تاثیر قرار دهد.

 

 

مایکروسافت گفت DDE یک پروتکل است که نحوه‌ی ارسال پیام‌ها توسط برنامه‌ها و به اشتراک گذاری داده از طریق حافظه‌ی اشتراکی را تعیین می‌کند.

مهاجمانی که در ۱۸ ماه گذشته با بدافزار مبتنی بر ماکرو به موفقیت‌های زیادی دست یافته‌اند، به استفاده از DDE برای راه‌اندازی روش‌های بهره‌برداری از آسیب‌پذیری و بدافزارها تمایل بیشتری پیدا کرده‌اند.

مایکروسافت گفت: «در یک سناریوی حمله‌ی رایانامه‌ای، مهاجم می‌تواند از پروتکل DDE استفاده کند و پرونده‌ی خاصی را به کاربر ارسال کند و سپس کاربر را با روش‌های فریب در رایانامه متقاعد کند تا پرونده پیوست‌شده را باز کند. این مهاجم باید کاربر را  متقاعد کند تا Protected Mode را غیرفعال و روی یک یا چند اعلان  کلیک کند. بخاطر این‌که پیوست‌های رایانامه یک روش ابتدایی برای مهاجم است که می‌تواند برای گسترش بدافزار از آن استفاده کند، مایکروسافت به کاربران توصیه می‌کند که هنگام باز کردن پیوست‌های مشکوک با احتیاط عمل کنند.»

 

 

حملاتی که از بدافزار ماکرو استفاده می‌کنند، با مهندسی اجتماعی هوشمندانه‌ای از طریق پیوست‌های مربوط به عملیات روزمره‌ی کسب‌و‌کار مانند اعلان‌های حمل‌ونقل و فاکتورها، کاربران را برای فعال کردن ماکروها که به طور پیش‌فرض در آفیس غیرفعال است، فریب می‌دهد.

مایکروسافت در مشاوره‌ای که هفته‌ی گذشته منتشر شد، توصیه می‌کند که کلیدهای کنترل ویژگی امنیتی را برای آفیس ۲۰۱۶ و ۲۰۱۳ فعال کنند که این کار به‌روزرسانی خودکار داده را از فیلدهای پیوند داده شده غیرفعال می‌کند و در واقع DDE بی‌اثر می‌شود.

در برنامه‌ی اکسل ، مایکروسافت دستورالعمل‌هایی در مورد نحوه‌ی غیرفعال کردن DDE از طریق ویرایش رجیستری یا رابط کاربری ارائه داده است.

مایکروسافت گفت: «غیرفعال کردن این ویژگی می‌تواند مانع از به‌روزرسانی پویای صفحات گسترده‌ی اکسل شود. ممکن است داده به طور کامل به روز نباشد، زیرا که از طریق خوراک‌های زنده به صورت خودکار به‌روز نمی‌شود. برای به‌روزرسانی برگه‌ی کاری، کاربر باید خوراک را به صورت دستی به‌روزرسانی کند. علاوه بر این، کاربر اعلان‌هایی برای یادآوری به‌روزرسانی دستی برگه‌ی کاری دریافت نخواهد کرد.»

برای برنامه‌ی Outlook، تنظیم کلید رجیستری مربوطه، به‌روزرسانی‌های DDE را مانند پیوندهای OLE غیرفعال می‌کند. مایکروسافت توصیه می‌کند که همان کلید رجیستری  Word که DDE و OLE را غیرفعال می‌کند، در برنامه‌ی Publisher نیز تنظیم شود.

در به‌روز‌رسانی فصل پاییز ویندوز ۱۰، مایکروسافت به کاربران توصیه می‌کند که از Windows Defender Exploit Guard، به طور خاص، مولفه‌ی کاهش سطح حمله (ASR) که تحرکات این اسناد مخرب را مسدود می‌کند، برای مسدودسازی بدافزار DDE استفاده کنند. مایکروسافت می‌گوید ASR مانع از ایجاد محتوای قابل اجرا، راه‌اندازی فرآیندهای فرزند و تزریق داخل فرآیندها در برنامه‌های آفیس می‌شود. همچنین کد ماکرو را مسدود می‌کند و از وارد کردن کد ماکرو توسط Win32 جلوگیری می‌کند.

حملات مبتنی بر DDE در اواسط ماه اکتبر، هنگامی رخ داد که SensePost یک اثبات مفهومی از حمله را منتشر کرد که نحوه‌ی استفاده از DDE برای اجرای کد روی یک دستگاه توسط یک مهاجم را نشان می‌دهد. این شرکت اعلام کرد که تحقیقات خود را در ماه آگوست به صورت خصوصی منتشر کرد و در اواخر ماه سپتامبر پاسخ داد که DEE یک ویژگی  بود و هیچ اقدام دیگری در این زمینه انجام نخواهد شد.

 

 

یک هفته بعد، مرکز بررسی ترافیک اینترنت SANS از افزایش ترافیک توسط بات‌نت Necurs گزارش داد که باج‌افزار لاکی را با استفاده از حملات DDE گسترش می‌داد.  یک پویش هرزنامه، به جای ماکرو، روش DDE در پیوست‌های اسناد ورد انتخاب شده بود.

این حملات که از DDE استفاده می‌‌کنند، ضد بدافزار و پویش‌گرهای جلوگیری از نفوذ را دور می‌زنند و آن را یک ویژگی در لیست سفید نشان می‌دهند.

یک پژوهش‌گر امنیتی گفت: «ظاهراً DDE و ماکروها ویژگی‌های قانونی مایکروسافت آفیس هستند. هر دوی آن‌ها در حملات بدافزار استفاده شده‌اند. در هر دو مورد، اسناد آفیس موجود در هرزنامه‌ی مخرب هشدارهایی می‌دهند که به یک قربانی اجازه می‌دهد تا بدانند چه اتفاقی می‌افتد. برای برطرف کردن این مشکل، شما باید  DDE را کاملا حذف کنید. اگر DDE یک قابلیت باشد، من با بیانیه‌ی مایکروسافت مبنی بر این‌که، این مورد وصله نخواهد شد، موافق هستم. با این حال، مقالات بسیاری در مورد DDE بیان می‌کند که این ویژگی با قابلیت OLE جایگزین شده است. اگر چنین باشد، چرا مایکروسافت DDE را کاملا از بین نمی‌برد؟ آیا موارد قانونی DDE وجود دارد که برای حفظ این سازگاری نیاز است؟»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید