هشدار آفیس به كاربران Mac در رابطه با فایلهای مخرب SYLK

محققان هشدار میدهند که ماکروهای XML تعبیه شده در پروندههای SYLK میتوانند از Microsoft Office برای نفوذ به مک استفاده کنند.
Microsoft Office به کاربران Mac اخطار داده است که فایلهای مخرب SYLK حتی اگر فعال باشند «همه ماکروها را بدون اطلاعرسانی» غیرفعال کرده و از ابزارهای دفاعی نقطه انتهایی استفاده میکنند. این عامل باعث میشود که سیستمها در برابر مهاجمان از راه دور و غیرمجاز که قادر به اجرای کد دلخواه هستند، آسیبپذیر باشند.
این هشدار از طرف تیم آمادگی اضطراری رایانهای ایالات متحده (US-CERT) اعلام شده است که بیان میکند پروندههای پیوست شده بصورت نمادین (SYLK) میتوانند حاوی ماکروهای خطرناک Extensible Markup Language (XML) باشند.
CERT اخیراً اعلام کرد: «ماکروهای XML را میتوان در فایلهای SYLK گنجانید.» «ماکروها در قالب SYLK مشکلساز هستند زیرا مایکروسافت آفیس در حالت Protected View برای کمک به محافظت از کاربران، فعال نمیشود.»
نمای محافظتشده (تصویر زیر را مشاهده کنید) دارای حالتی «فقط خواندنی» است که ویرایش در آن امکانپذیر نیست. فایلهای SYLK شامل این موضوع که «تنها با یک کلیک از اجرای کد دلخواه از طریق سندی که از اینترنت گرفته شده است، جلوگیری کنند» نمیشود.
نکته جالب این است، تنها هنگامی که کاربر آن را به صورت ایمن اجرا کرده و Office خود را برای Mac 2016 تا 2019 پیکربندی کرده تا «همه ماکروها را بدون اطلاعرسانی غیرفعال کند» این نقص خود را نشان میدهد. این کاربران اعلام کردند: «اگر Office برای Mac پیكربندی شده است، با استفاده از ویژگی «غیرفعال كردن همه ماكروها»، ماكروهای XLM در پروندههای SYLK را بدون آنكه کاربر از آن مطلع شوند، اجرا میکند.»
این اشکال در 2016 Office و 2019 Office و نیز در مایکروسافت آفیس 2011 برای سیستمهای مک تایید شده است.
محققان نوشتند: با متقاعد كردن كاربر برای باز كردن محتوای Microsoft Excel ایجاد شده بر روی Mac كه «همهی ماكروها را بدون اطلاعرسانی غیرفعال میکند»، یك مهاجم از راه دور و غیرمستقیم میتواند كد دلخواه خود را با امتیازات كاربر Excel اجرا نماید.
XML یک زبان نشانهگذاری است که طبق تعریف کنسرسیوم جهانی وب، «مجموعهای از قوانین برای رمزگذاری اسناد را در قالب فرمت قابلخواندن توسط انسان و نیز توسط دستگاه، تعریف میکند.»
از سوی دیگر، SYLK یک فرمت قدیمی از فایلها است که قدمت آن به دهه 1980 باز میگردد و تا به امروز توسط مایکروسافت آفیس پشتیبانی میشود. عوامل مخرب با استفاده از این دو در کنار هم میتوانند ماکروهای XLM را در پروندههای SYLK قرار دهند.
محققان در Outflank در گزارشی كه به تازگی منتشر شده، نوشتند: «همانطور كه معلوم است، این قالب پرونده [SYLK] جایگزین بسیار مطلوبی برای ایجاد اسنادی است كه میتواند توسط مهاجمین برای ایجاد جایگاه اولیه استفاده شود.»
محققان خاطرنشان كردند كه مهاجمان تمایل بیشتری به استفاده از پروندههای SYLK دارند، زيرا تنها نرمافزار Office نیست که در برابر Mac آسیبپذیر میباشد: “SYLK در فهرست پیوستهای مسدود شده MS Outlook گنجانده نشده است. SYLK در پیشفرض [Outlook Web Access] OWA در لیست برنامههای افزودنی مسدود نشده، قرار دارد.”
Outflank نشان میدهد که بهترین راه برای کاهش سوءاستفاده، مسدود کردن کامل پروندههای SYLK در MS Office است. این کار از طریق تنظیمات File Block در MS Office Trust Center قابل انجام خواهد بود.