هشدار آفیس به کاربران Mac در رابطه با فایل‌های مخرب SYLK

محققان هشدار می‌دهند که ماکروهای XML تعبیه شده در پرونده‌های SYLK می‌توانند از Microsoft Office برای نفوذ به مک استفاده کنند.

Microsoft Office به کاربران Mac اخطار داده است که فایل‌های مخرب SYLK حتی اگر فعال باشند «همه ماکروها را بدون اطلاع‌رسانی» غیرفعال کرده و از ابزارهای دفاعی نقطه انتهایی استفاده می‌کنند. این عامل باعث می‌شود که سیستم‌ها در برابر مهاجمان از راه دور و غیرمجاز که قادر به اجرای کد دلخواه هستند، آسیب‌پذیر باشند.

این هشدار از طرف تیم آمادگی اضطراری رایانه‌ای ایالات متحده (US-CERT) اعلام شده است که بیان می‌کند پرونده‌های پیوست شده بصورت نمادین (SYLK) می‌توانند حاوی ماکروهای خطرناک Extensible Markup Language (XML) باشند.

CERT اخیراً اعلام کرد: «ماکروهای XML را می‌توان در فایل‌های SYLK گنجانید.» «ماکروها در قالب SYLK مشکل‌ساز هستند زیرا مایکروسافت آفیس در حالت Protected View برای کمک به محافظت از کاربران، فعال نمی‌شود.»

نمای محافظت‌شده (تصویر زیر را مشاهده کنید) دارای حالتی «فقط خواندنی» است که ویرایش در آن امکان‌پذیر نیست. فایل‌های SYLK شامل این موضوع که «تنها با یک کلیک از اجرای کد دلخواه از طریق سندی که از اینترنت گرفته شده است، جلوگیری کنند» نمی‌شود.

نکته جالب این است، تنها هنگامی که کاربر آن را به صورت ایمن اجرا کرده و Office خود را برای Mac 2016 تا 2019 پیکربندی کرده تا «همه ماکروها را بدون اطلاع‌رسانی غیرفعال کند» این نقص خود را نشان می‌دهد. این کاربران اعلام کردند: «اگر Office برای Mac پیکربندی شده است، با استفاده از ویژگی «غیرفعال کردن همه ماکروها»، ماکروهای XLM در پرونده‌های SYLK را بدون آنکه کاربر از آن مطلع شوند، اجرا می‌کند.»

این اشکال در 2016 Office و 2019 Office و نیز در مایکروسافت آفیس 2011 برای سیستم‌های مک تایید شده است.

محققان نوشتند: با متقاعد کردن کاربر برای باز کردن محتوای Microsoft Excel ایجاد شده بر روی Mac که «همه‌ی ماکروها را بدون اطلاع‌رسانی غیرفعال می‌کند»، یک مهاجم از راه دور و غیرمستقیم می‌تواند کد دلخواه خود را با امتیازات کاربر Excel اجرا نماید.

XML یک زبان نشانه‌گذاری است که طبق تعریف کنسرسیوم جهانی وب، «مجموعه‌ای از قوانین برای رمزگذاری اسناد را در قالب فرمت قابل‌خواندن توسط انسان و نیز توسط دستگاه، تعریف می‌کند.»

از سوی دیگر، SYLK یک فرمت قدیمی از فایل‌ها است که قدمت آن به دهه 1980 باز می‌گردد و تا به امروز توسط مایکروسافت آفیس پشتیبانی می‌شود. عوامل مخرب با استفاده از این دو در کنار هم می‌توانند ماکروهای XLM را در پرونده‌های SYLK قرار دهند.

محققان در Outflank در گزارشی که به تازگی منتشر شده، نوشتند: «همان‌طور که ​​معلوم است، این قالب پرونده [SYLK] جایگزین بسیار مطلوبی برای ایجاد اسنادی است که می‌تواند توسط مهاجمین برای ایجاد جایگاه اولیه استفاده شود.»

محققان خاطرنشان کردند که مهاجمان تمایل بیشتری به استفاده از پرونده‌های SYLK دارند، زیرا تنها نرم‌افزار Office نیست که در برابر Mac آسیب‌پذیر می‌باشد: “SYLK در فهرست پیوست‌های مسدود شده MS Outlook گنجانده نشده است. SYLK در پیش‌فرض [Outlook Web Access] OWA در لیست برنامه‌های افزودنی مسدود نشده، قرار دارد.”

Outflank نشان می‌دهد که بهترین راه برای کاهش سوءاستفاده، مسدود کردن کامل پرونده‌های SYLK در MS Office است. این کار از طریق تنظیمات File Block در MS Office Trust Center قابل انجام خواهد بود.