یک اکسپلویت جدید بد به این معنی است که به سادگی باز کردن یک سند Word در معرض خطر می تواند آسیب زیادی به سیستم شما وارد کند.
یک اشکال اخیراً کشف شده در موتور مرورگر اختصاصی MSHTML مایکروسافت به هکرها امکان اجرای کد از راه دور در تمام نسخههای ویندوز را میدهد. مهاجمان از اسناد Word ساخته شده ویژه برای سوء استفاده از این اشکال روز صفر استفاده می کنند. متأسفانه، MSHTML توسط چندین محصول مایکروسافت از جمله Skype، Visual Studio و Microsoft Outlook نیز استفاده می شود، بنابراین مشکل بسیار گسترده است.
به این ترتیب، بیایید بررسی کنیم که چگونه این اکسپلویت کار می کند و چگونه خود را از آن در امان نگه دارید.
چگونه Microsoft Word Zero-Day Exploit کار می کند؟
حمله زمانی شروع می شود که کاربران فریب داده می شوند تا یک سند Word را باز کنند. این سند حاوی یک کنترل ActiveX است که بهطور ویژه برای کنترل موتور MSHTML ساخته شده است. هنگامی که با موفقیت بارگیری شد، هکرها می توانند از این کنترل اکتیو ایکس برای اجرای کد راه دور بر روی دستگاه در معرض خطر استفاده کنند.
مایکروسافت این باگ را بهعنوان CVE-2021-40444 دنبال میکند و امتیاز CVSS 8.8 را به آن اختصاص داده است. این باگ MSHTML را به یک مشکل با تاثیر زیاد با پتانسیل ایجاد آسیب قابل توجه تبدیل می کند.
چگونه حمله MSHTML را کاهش دهیم
کاربران می توانند با باز نکردن اسناد نامعتبر Word از حمله MSHTML جلوگیری کنند. حتی اگر تصادفاً روی چنین اسنادی کلیک کنید، اجرای آفیس با تنظیمات پیشفرض احتمالاً شما را از آخرین حمله روز صفر مرتبط با مایکروسافت در امان نگه میدارد.
بهطور پیشفرض، آفیس اسناد بارگیریشده از اینترنت را در نمایش محافظت شده یا Application guard برای Office باز میکند. این ویژگی از دسترسی فایلهای غیرقابل اعتماد به منابع مهم سیستم جلوگیری میکند، بنابراین احتمالاً ایمن خواهید بود.
با این حال، کاربرانی که با امتیازات ادمین کار می کنند در معرض خطر بالایی از حمله MSHTML هستند. از آنجایی که در حال حاضر هیچ وصله کاری در دسترس نیست، توصیه می کنیم اسناد Office را فقط به عنوان یک کاربر استاندارد باز کنید، جایی که Protected View می تواند شما را نجات دهد. مایکروسافت همچنین گفته است که غیرفعال کردن کنترل ActiveX می تواند از این حمله جلوگیری کند.
مرتبط: مایکروسافت Application Guard آفیس 365 را برای محافظت از کارگران خانه فعال می کند
نحوه غیرفعال کردن ActiveX Control
برای غیرفعال کردن کنترل اکتیو ایکس، یک ویرایشگر متن باز کنید و فایلی به نام disable-activex.reg ایجاد کنید. تا زمانی که پسوند reg وجود دارد، می توانید این فایل را هر چیزی صدا بزنید. حالا موارد زیر را در فایل پیست کرده و ذخیره کنید.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
روی فایل دوبار کلیک کنید و در صورت درخواست ویندوز بر روی Yes کلیک کنید. پس از انجام این کار، رایانه خود را مجدداً راه اندازی کنید و ویندوز تنظیمات جدید را اعمال خواهد کرد.
مراقب اسناد Word غیرقابل اعتماد باشید
مایکروسافت هنوز وصله های رسمی برای بهره برداری MSHTML منتشر نکرده است. بنابراین، اگر میخواهید ایمن بمانید، روی اسناد دانلود شده از اینترنت کلیک نکنید. خوشبختانه، Defender می تواند این حمله را شناسایی کرده و از به خطر انداختن سیستم شما جلوگیری کند. بنابراین حتما Microsoft Defender را روشن کرده و محافظت بلادرنگ را فعال کنید.