به گزارش جام جم آنلاین از ایرنا، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای کشور اعلام کرد: محققان، آسیبپذیری وصله نشده ای را در ویژگی ویدئوآنلاین (Online Video) مایکروسافت کشف کردهاند که به مهاجمان امکان ارسال فایلهای مخرب به سیستم قربانی را میدهد.
گزارش مرکز ماهر تاکید دارد: این اشکال هنگامی رخ میدهد که کاربر یک ویدئو را از طریق ویژگی
«Video Online» در یک سند «ورد» (Word) تعبیه کند. این آسیبپذیری در فایل «xml» وجود دارد که در آن، شاخص «embeddedHtml» به یک کد «iframe» در یوتیوب اشاره دارد.
مرکز ماهر اعلام کرد: هکرها میتوانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می شود، جایگزین کنند.
براساس گزارش مرکز ماهر از گفته محققان، تغییر گذرواژه ویدئوی یوتیوب جاسازیشده در یک سند Word، برای مهاجمان بسیار آسان است آنها فقط باید فایل «document.xml» را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند.
گزارش مرکز ماهر اضافه می کند: محققان گمان میکنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازیشده با لینک به YouTube را نشان میدهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پسزمینه اجرا و منجر به اجرای کد بیشتر شود.
مرکز ماهر اعلام کرد: هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می کنند.
گزارش مرکز ماهر ادامه داده است: با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانهای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازیشده، هیچ اخطاری ایجاد نمیکند، این اشکال بر مایکروسافت آفیس 2016 و تمام نسخههای قبلی دارای ویژگی «Video Online» تأثیر میگذارد.
مرکز ماهر اعلام کرد: محققان سه ماه پیش این آسیبپذیری را به مایکروسافت گزارش کردند اما بهنظر میرسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرمافزار Word، تفسیر HTML را بهدرستی انجام میدهد.
مرکز ماهر به مدیران شرکتها توصیه کرد: سندهای Word دارای برچسب «embeddedHtml» در فایل «document.xml» اسناد Word را مسدود کنند و پیوستهای ایمیل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.
حملات فیشینگ (Phishing) عبارت از ترغیب کاربران به افشای اطلاعات محرمانه شخصی با استفاده از هویتهای قلابی و ساختگی است.
به منظور تدارک و یا برنامهریزی یک تهاجم از نوع حملات مهندسی اجتماعی، یک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارتهای اجتماعی خاص (روابط عمومیمناسب، ظاهری آراسته و...)، سعی می کند به اطلاعات حساس یک سازمان و یا کامپیوتر شخصی، دستیابی و یا به آنان آسیب رساند