كيف يستخدم المتسللين مايكروسوفت إكسل ضد نفسه

مرحبا يا هبر! أقدم إليكم ترجمة المقالة "كيف يدير المتسللون ميزات Microsoft Excel الخاصة ضدها" بقلم ليلي هاي نيومان.


ايلينا لاسي ، صور غيتي

بالتأكيد بالنسبة للكثيرين منا ، Microsoft Excel هو برنامج ممل. إنها تعرف الكثير من الأشياء ، لكنها ما زالت ليست Apex Legends. نظرة المتسللين في Excel بشكل مختلف. بالنسبة لهم ، تطبيقات Office 365 هي ناقل هجوم آخر. يظهر اكتشافان حديثان بوضوح كيف يمكن استخدام الوظائف الأصلية للبرامج ضد نفسها.

يوم الخميس ، تحدث خبراء في شركة Mimecast ، وهي شركة تهديد عبر الإنترنت ، عن كيفية استخدام ميزة Power Query المضمنة في Excel لمهاجمة مستوى نظام التشغيل. يقوم Power Query تلقائيًا بجمع البيانات من مصادر محددة ، مثل قواعد البيانات وجداول البيانات والمستندات أو مواقع الويب وإدراجها في جدول بيانات. يمكن أيضًا استخدام هذه الوظيفة على حساب إذا كان موقع الويب المرتبط يحتوي على ملف ضار. عن طريق إرسال مثل هذه الجداول المعدة خصيصًا ، يأمل المتسللون في الحصول على الحقوق في نهاية المطاف على مستوى النظام و / أو القدرة على تثبيت backdoors.

يقول Meni Farjon ، الرئيس التنفيذي لشركة Mimecast: "لا يحتاج المهاجمون إلى اختراع أي شيء ، ما عليك سوى فتح Microsoft Excel واستخدام وظائفها الخاصة". "هذه الطريقة يمكن الاعتماد عليها أيضًا بالنسبة لكل 100 شخص. الهجوم له صلة بجميع إصدارات Excel ، بما في ذلك الإصدار الأحدث ، وربما سيعمل على جميع أنظمة التشغيل ولغات البرمجة ، لأننا لا نتعامل مع الأخطاء ، ولكن مع وظيفة البرنامج نفسه. بالنسبة للمتسللين ، هذه منطقة واعدة للغاية. "

يوضح Fargejon أنه بمجرد قيام Power Query بإنشاء اتصال مع موقع مزيف ، يمكن للمهاجمين استخدام Dynamic Data Exchange. من خلال هذا البروتوكول في Windows ، يتم تبادل البيانات بين التطبيقات. عادة ما تكون البرامج محدودة للغاية في الحقوق وتعمل DDE كوسيط للتبادل. يمكن للمهاجمين تحميل الإرشادات المتوافقة مع DDE للهجوم على الموقع ، وسوف يقوم Power Query بتحميلها تلقائيًا إلى الجدول. بنفس الطريقة ، يمكنك تنزيل أنواع أخرى من البرامج الضارة.

ومع ذلك ، قبل إنشاء اتصال DDE ، يجب على المستخدم قبول العملية. ويوافق معظم المستخدمين على جميع الطلبات دون النظر. بفضل هذا ، فإن نسبة الهجمات الناجحة عالية.

في "تقرير الأمان" في عام 2017 ، قدمت Microsoft بالفعل حلولًا. على سبيل المثال ، قم بتعطيل DDE لتطبيقات محددة. ومع ذلك ، يصف نوع الهجوم الذي اكتشفه Mimecast تنفيذ التعليمات البرمجية على الأجهزة التي ليس لديها خيار تعطيل DDE. بعد أن أبلغت الشركة عن الضعف في يونيو 2018 ، ردت Microsoft بأنها لن تغير أي شيء. يقول فارجون إنهم انتظروا سنة كاملة قبل إخبار العالم بالمشكلة ، على أمل أن تغير مايكروسوفت موقفها. على الرغم من عدم وجود دليل حتى الآن على أن هذا النوع من الهجوم يستخدمه المهاجمون ، إلا أنه من الصعب ملاحظة ذلك بسبب طبيعة سلوكه. "على الأرجح ، سوف يغتنم المتسللون هذه الفرصة ، لسوء الحظ" ، يقول فارجون. "هذا الهجوم سهل التنفيذ ، إنه رخيص وموثوق واعد."

بالإضافة إلى ذلك ، حذر فريق أمان Microsoft الجميع الأسبوع الماضي من أن مجرمي الإنترنت يستخدمون بنشاط ميزة Excel أخرى تتيح لهم الوصول إلى النظام حتى مع تثبيت أحدث تصحيحات. هذا النوع من الهجوم يستخدم وحدات الماكرو ويستهدف المستخدمين الكوريين. تعد وحدات الماكرو بعيدة عن السنة الأولى التي تجلب معها مجموعة من المشاكل لكل من Word و Excel. إنها مجموعة من الإرشادات القابلة للبرمجة والتي لا يمكن تسهيلها فحسب ، بل تعقيد العمل أيضًا إذا لم يتم استخدامها في سيناريو تصوره المطورون.

من الواضح أن مستخدمي Office 365 يريدون رؤية المزيد والمزيد من الميزات الجديدة ، لكن كل مكون جديد من البرنامج يحمل مخاطر محتملة. كلما كان البرنامج أكثر تعقيدًا ، زادت موجهات الهجوم المحتملة للمتسللين. قالت Microsoft أن Windows Defender قادر على منع مثل هذه الهجمات لأنه يعرف ما يجب الانتباه إليه. لكن اكتشافات Mimecast بمثابة تذكير إضافي بوجود حلول دائمة.
يقول روني توكازوفسكي من البريد الإلكتروني Security Security ، Agari: "أصبح الوصول إلى شبكة إحدى المنظمات أكثر صعوبة باستخدام الأساليب التقليدية". "إذا لم تكن بحاجة إلى كسر أي شيء لهجوم ناجح ، فستذهب إلى أبعد من ذلك في الطريق الأقل مقاومة ، ولا يهم إصدار Windows."

قالت Microsoft إن كل من وحدات الماكرو و Power Query تتم إدارتها بسهولة على مستوى المسؤول. تتيح لك "سياسة المجموعة" تكوين السلوك لجميع الأجهزة في مؤسستك في وقت واحد. ولكن إذا كان عليك تعطيل الوظيفة المدمجة لضمان سلامة المستخدم ، فسوف يطرح السؤال "هل هي ضرورية؟"