أوفيس صديق يتحول ل عدو..تقرير أمن إلكتروني يبرز أهم ثغراته

حذرت كبرى شركات الأمن الالكترونى فى العالم من بعض المخاطر التى تأتى عبر برامج "أوفيس".
وطبقا لتقرير رسمي صادر عن "بالو التو نتوركس"، المتخصصة في الأمن الألكتروني، أوضحت أن الجميع تقريبا يستخدم حزمة البرامج المكتبية "مايكروسوفت أوفيس"، سواء كانت مستندات عمل، أو فواتير إلكترونية، أو عقد تأجير لشقة جديدة؛ وتعتبر حزمة البرامج والأدوات المكتبية "مايكروسوفت أوفيس" ذات فائدة كبيرة للجميع.
وأضاف التقرير: "وعادة ما يختار المهاجمون هذه المستندات لشن الهجمات الخبيثة التي تستهدف أجهزة المستخدمين مسلحين انطلاقًا من ثقتهم بميل العديد من المستخدمين لفتح أي مستند يصلهم تقريبًا، حتى تلك التي تصل من مصادر غير موثوقة".
وسلطت الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، الضوء على أساليب مختلفة يمكن من خلالها استغلال مستندات أوفيس وإساءة استخدامها لاستهداف الأجهزة الطرفية العاملة بنظام التشغيل ويندوز، وهي:
1- أدوات الماكرو
تعتبر أدوات "الماكرو - Macros "من الأساليب المباشرة التي يستخدمها المهاجمون لاستغلال مستندات أوفيس كأدوات هجومية خبيثة وتمتاز برامج أوفيس بأدوات برمجية مدمجة قادرة على تشغيل نصوص تطبيقات" فيجوال بيسك VBA" ويتم تفعيل هذه النصوص تلقائيًا فور فتح المستندات، دون أي تدخل من المستخدم "على افتراض أن المستخدم قام بتفعيل أدوات الماكرو مسبقًا" لتقوم بتشغيل أكواد خبيثة على النظام. وفي حال عدم تفعيل أدوات الماكرو على النظام، ستظهر نافذة منبثقة تطلب من المستخدم النقر لتفعيل هذه الأدوات.
وتعتبر النافذة المنبثقة واحدة من آليات الحماية المتعددة التي تعتمدها مايكروسوفت للتخفيف من المخاطر الأمنية المرافقة لاستخدام وحدات الماكرو كما تقوم مايكروسوفت باستخدام لاحقة ملفات مختلفة مثل "docm عوضًا عن docx" للمستندات الجديدة التي تحتوي على أدوات الماكرو.
2- ملفات الفلاش المدمجة
إلى جانب الإمكانيات المدمجة كأدوات المايكرو، يمكن أن تتضمن ملفات أوفيس إضافات خارجية مدمجة كملفات "أدوبي فلاش" ويتم إيصال هذه الإضافات إلى البرامج المناسبة للتعامل معها، وبالتالي يمكن استغلال أي ثغرة في البرنامج لتضمين الملفات الخبيثة ضمن محتوى أدوبي فلاش في ملفات الأوفيس.ومن الأمثلة على مثل هذه الهجمات التي يستغلها المهاجمون هي الثغرة المعروفة باسم "CVE-2018-4878" في مشغل أدوب فلاش بلاير زيرو داي.
والتي تعمل على استغلال المشغل عبر إرفاق ملفات SWF ضمن ملفات إكسل. وفي مثل هذه الأنواع من الهجمات، فإن ملف "إكسل" الخبيث يتضمن محتوى أدوبي فلاش والذي يمكن يتسبب بثغرة في مشغل الفلاش لتحميل شيل كود Shellcode الذي يمكن المهاجم من السيطرة على جهاز المستخدم.
3- أداة محرر المعادلات من مايكروسوفت
بأسلوب مماثل لإرفاق ملفات أدوبي فلاش على مستند أوفيس، بالإمكان أيضًا إرفاق معادلات في المستندات التي سيتم تحليلها من قبل أداة مايكروسوفت لتحرير المعادلات – البرمجية التي تتيح إمكانية كتابة معادلات رياضية.
وباعتبار أن أداة مايكروسوفت لتحرير المعادلات تعمل بقدرة المعالجة الخاصة بها "eqnedt32.exe" فإن قدرات الحماية الخاصة بحزمة برامج مايكروسوفت أوفيس مثل "EMET"، و"Windows Defender Exploit Guard" لا تتسم بالفعالية التامة بشكل قياسي، نظرًا لأنها توفر الحماية فقط لعمليات مايكروسوفت أوفيس مثل "winword.exe".
وعلى الرغم من أن الهجمات التي تتم عبر استغلال الملفات تعتبر من الهجمات الإلكترونية الشائعة لأكثر من عقد من الزمن، إلا أننا شهدنا مؤخرًا في ارتفاعًا في شعبية وتعقيد هذه الهجمات ويمكن أن يُعزى هذا الارتفاع نتيجة لازدياد صعوبة استغلال متصفحات الإنترنت نظرًا للجهود التي تبديها الشركات المطورة لهذه المتصفحات وبغض النظر عن الأسباب، من الهام جدًا أن تتمتع المؤسسات بالمعرفة والوعي بأساليب الدفاع والحماية ضد هذه التهديدات الشائعة.