Τέσσερα σοβαρά κενά ασφαλείας βρέθηκαν στο Microsoft Office! Τι πρέπει να κάνετε….χθες!

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), προτρέπει τους χρήστες Windows να ενημερώσουν το λογισμικό τους, αφού ανακάλυψαν τέσσερις ευπάθειες ασφαλείας που επηρεάζουν προϊόντα στο Microsoft Office suite, συμπεριλαμβανομένων των Excel και Office online. Με ρίζες στον αρχικό κώδικα, οι ευπάθειες μπορούν να δώσουν σε έναν εισβολέα τη δυνατότητα εκτέλεσης κώδικα σε στόχους μέσω κακόβουλων εγγράφων του Office, όπως το Word, το Excel και το Outlook.

  • Αποστολή κακόβουλου λογισμικού μέσω εγγράφων Word (.DOCX), Outlook Email (.EML) και των περισσότερων μορφών αρχείων Office.
  • Οι ευπάθειες είναι πρόβλημα της ανάλυσης σφαλμάτων στον αρχικό κώδικα, κάτι που οδηγεί την Check Point Research (CPR) να πιστεύει πως τα κενά ασφαλείας υφίστανται εδώ και χρόνια
  • Η Check Point Research (CPR) με αίσθημα ευθύνης ενημέρωσε τη Microsoft, η οποία με τη σειρά της προχώρησε στις διορθώσεις: CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, CVE-2021-31939

Αθήνα, 08.06.2021– Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), εντόπισε τέσσερις ευπάθειες ασφαλείας που επηρεάζουν προϊόντα στη σουίτα του Microsoft Office, όπως το Excel και το Office online. Τα συγκεκριμένα κενά ασφαλείας εφόσον αξιοποιηθούν σωστά μπορούν να παραχωρήσουν σε έναν εισβολέα τη δυνατότητα εκτέλεσης κώδικα στους στόχους του μέσω κακόβουλων εγγράφων του Office, όπως το Word (.DOCX), το Excel (.EXE) και το Outlook (.EML). Οι ευπάθειες είναι το αποτέλεσμα της ανάλυσης σφαλμάτων που έγιναν στον κώδικα παλαιού τύπου που βρέθηκε στο Excel95 File Formats, δίνοντας στους ερευνητές λόγους να πιστεύουν ότι τα ελαττώματα ασφαλείας υπάρχουν εδώ και αρκετά χρόνια.

Η Ανακάλυψη

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), ανακάλυψε τις ευπάθειες με το “fuzzing” MSGraph, ένα στοιχείο που μπορεί να ενσωματωθεί σε προϊόντα του Microsoft Office προκειμένου να εμφανίσει γραφήματα και διαγράμματα. Το Fuzzing είναι μια αυτοματοποιημένη τεχνική δοκιμών λογισμικού που επιχειρεί να εντοπίσει επιρρεπή στο hacking σφάλματα λογισμικού, με τυχαία τροφοδοσία μη έγκυρων και μη αναμενόμενων δεδομένων σε ένα πρόγραμμα υπολογιστή, προκειμένου να βρεθούν σφάλματα κωδικοποίησης και κενά ασφαλείας. Η CPR ανακάλυψε με τη χρήση αυτής της τεχνικής, ευπαθείς λειτουργίες στο MSGraph. Παρόμοιοι έλεγχοι κώδικα επιβεβαίωσαν ότι η ευάλωτη λειτουργία χρησιμοποιείται συνήθως σε πολλά διαφορετικά προϊόντα του Microsoft Office, όπως το Excel, το Office Online Server και το Excel για OSX.

Η Μεθοδολογία της Επίθεσης

Οι ευπάθειες που εντοπίστηκαν μπορούν να ενσωματωθούν στα περισσότερα έγγραφα του Office, και οι δυνατότητες επίθεσης μοιάζουν αμέτρητες. Το σενάριο που ακολουθεί είναι το απλούστερο που μπορούμε να φανταστούμε:

  1. Το θύμα κατεβάζει ένα κακόβουλο αρχείο Excel (μορφή XLS). Το έγγραφο μπορεί να «φτάσει στα χέρια» του μέσω ενός συνδέσμου προς λήψη ή ενός email, αλλά ο εισβολέας δεν μπορεί να αναγκάσει το θύμα να το κατεβάσει
  2. Το θύμα ανοίγει το κακόβουλο αρχείο Excel
  3. Η ευπάθεια ενεργοποιείται

Δεδομένου ότι ολόκληρο το Office suite έχει τη δυνατότητα να ενσωματώσει αντικείμενα του Excel, διευρύνει τον ορίζοντα επίθεσης, καθιστώντας δυνατή την εκτέλεση μιας τέτοιας επίθεσης σε σχεδόν οποιοδήποτε Office λογισμικό, συμπεριλαμβανομένων των Word, Outlook και άλλων.

Η Ενημέρωση

Η CPR με αίσθημα ευθύνης ενημέρωσε τη Microsoft, η οποία με τη σειρά της εξέδωσε τις ακόλουθες διορθώσεις CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Η τέταρτη ενημέρωση θα εκδοθεί στο Microsoft Patch σήμερα Τρίτη, 8 Ιουνίου 2021, ταξινομημένο ως CVE-2021-31939.

Πώς να ενημερώσετε τα Windows στο PC σας

  1. Επιλέξτε το κουμπί Start/ Έναρξη και, στη συνέχεια, επιλέξτε Settings/Ρυθμίσεις> Update & security /Ενημέρωση και ασφάλεια> Windows Update.
  2. Εάν θέλετε να ελέγξετε για ενημερώσεις με μη αυτόματο τρόπο, επιλέξτε Check for updates/ Έλεγχος για ενημερώσεις.
  3. Επιλέξτε Advanced options / Επιλογές για προχωρημένους και, στη συνέχεια, επιλέξτε Choose how updates are installed /Επιλογή εγκατάστασης ενημερώσεων και τέλος επιλέξτε Automatic (recommended) /Αυτόματη (συνιστάται).

Ο Yaniv Balmas, Head of Cyber Research στην Check Point Software δήλωσε σχετικά:

«Οι ευπάθειες που εντοπίστηκαν επηρεάζουν σχεδόν όλο το οικοσύστημα του Microsoft Office. Είναι πιθανό μια τέτοια επίθεση να εκτελεστεί σε οποιοδήποτε σχεδόν λογισμικό του Office, συμπεριλαμβανομένων των Word, Outlook και άλλων. Μάθαμε ότι οι ευπάθειες οφείλονται στην ανάλυση των λαθών που έγιναν στον κώδικα παλαιού τύπου. Ένα από τα βασικά διδάγματα από την έρευνά μας είναι ότι ο παλαιός κώδικας εξακολουθεί να είναι ένας αδύναμος κρίκος στην αλυσίδα ασφαλείας, ειδικά σε ένα περίπλοκο λογισμικό όπως το Microsoft Office. Παρόλο που βρήκαμε μόνο τέσσερα τρωτά σημεία κατά την έρευνά μας, δεν μπορούμε ποτέ να πούμε αν και πόσες ευπάθειες όπως αυτές, εξακολουθούν να περιμένουν να βρεθούν. Προτρέπω τους χρήστες των Windows να ενημερώσουν αμέσως το λογισμικό τους, καθώς υπάρχουν πολλές και πιθανές δυνατότητες επίθεσης από έναν εισβολέα που ενεργοποιεί τις ευπάθειες που βρήκαμε.»

Για περισσότερες πληροφορίες, επισκεφθείτε το ιστολόγιο.

 

[signoff]

 

via

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Microsoft Surface Killer? Στα 619€ το Νέο μου Windows Tablet 13″ 2,5K με Ai επεξεργαστή Intel Core Ultra 5 115U, 16GB DDR5, 1TB nVme...

Προσοχή Ελάχιστα κουπόνια και ΣΤΟΚ (μετρημένα στα δάχτυλα του ενός χεριού) Είχαμε δει την αποσυσκευασία του πριν από περίπου 4 μήνες και το εξαφανίσατε! Μόνο Για...

H Xiaomi γίνεται η πρώτη εταιρεία που διαθέτει Android 17 στις συσκευές της

Η φάση δοκιμών του Android 17 για την Xiaomi έφτασε στο τέλος της και πριν λίγο ήρθε στο Xiaomi 17 Ultra μας η αναβάθμιση...

Motorola Edge 70 Max: Επίσημο με Snapdragon 8 Gen 5 και… 7.100mAh μπαταρία!

Η Motorola επεκτείνει τη σειρά Edge 70, φέρνοντας το Motorola Edge 70 Max. Πρόκειται για την ισχυρότερη συσκευή της σειράς, η οποία έρχεται με...

Galaxy S27 Ultra: Τέλος στις φήμες για οριζόντια κάμερα — αλλά κάτι άλλο αλλάζει

Το Samsung Galaxy S27 Ultra δεν πρόκειται να αποκτήσει οριζόντια διάταξη κάμερας όπως τα Pixel ή το iPhone Air, σύμφωνα με νεότερη αναφορά αξιόπιστου...

Ένα νέο είδος ρομπότ μπορεί να κολυμπάει στη θάλασσα και να πετάει στον ουρανό

Ένα μικρό ρομπότ που μπορεί τόσο να πετά όσο και να κολυμπά, αλλά και να περνά από το νερό στον αέρα μέσα σε λιγότερο...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Microsoft Surface Killer? Στα 619€ το Νέο μου Windows Tablet 13″ 2,5K με Ai επεξεργαστή Intel Core Ultra 5 115U, 16GB DDR5, 1TB nVme...

Προσοχή Ελάχιστα κουπόνια και ΣΤΟΚ (μετρημένα στα δάχτυλα του ενός χεριού) Είχαμε δει την αποσυσκευασία του πριν από περίπου 4 μήνες και το εξαφανίσατε! Μόνο Για...

Το “Απόλυτο” μηχάνημα Θαλάσσης… Μοτέρ SUP, Καταδυτικό Scooter… Δικά σου όλα… ΤΩΡΑ!!! 2 σε 1 DCCMS DS-720 στα 319€ ΚΟΜΠΛΕ

Μου τα έχετε ζητήσει όλα... ένα - ένα ξεχωριστά και σας τα έφερα όλα μαζί. Το 3 σε 1 DCCMS DS-720 τα κάνει όλα και...

Διακοπές Ρεύματος;;; ΤΕΡΜΑ οι Δικαιολογίες… Φτιάξ’ το ΣΗΜΕΡΑ με Allpowers R600 Power Station στα 212€ ΚΟΜΠΛΕ

Αν ακόμη δεν έχεις κάνει κάτι για να διασφαλίσεις από το "ΚΑΚΟ" ρεύμα τις πανάκριβες συσκευές σου ή ακόμη και την δουλειά σου... με...

Με 30.000 DPI… Razer Pro Click V2, Ασύρματο Gaming Ποντίκι, RGB, Εργονομικό, Ai & Macros και Στην Καλύτερη Τιμή EVER από Ελλάδα (βίντεο)

Όταν κάτι αφορά την δουλειά σου πάνω απ' όλα πάντα προτείνω να διαθέσεις κάτι "παραπάνω" γιατί σίγουρα θα σου τα γυρίσει πίσω πολλές φορές. Έτσι...

Xiaomi MIJIA Youth Edition2S: Ο πιο “ΤΣΑΜΠΑ” Επώνυμος DLP προτζέκτορας είναι εδώ… στα 297€ ΚΟΜΠΛΕ (βίντεο)

Βίντεο Σύγκρισής  Xiaomi MIJIA Youth Edition2S (DLP) VS Wanbo T2 MAX New (LED) Είναι ο 5ος DLP Προτζέκτορας που φέρνω στο κανάλι ανάμεσα σε 10άδες...