مایکروسافت یک اشکال اجرای کد از راه دور را که محققان در بقایای اجرایی 17 ساله پیدا کرده اند، رفع کرده است. که توسط هیچکدام از راه کارهای مدرن مایکروسافت در ویندوز 10 برطرف نشده است.

محققان شرکت امنیتی "Embedi" این مشکل را در یک ابزار مایکروسافت با نام مایکروسافت Equation Editor که فایل اجرایی آن در EQNEDT32.EXE در سال 2000 ساخته شده، پیدا کرده است و تاکنون در Office بدون هیچ تغییری باقی مانده است.

این ابزار برای قرار دادن فرمولهای ریاضی در اسناد اداری استفاده شد، اما در Office 2007 جایگرین شد. Embedi حدس میزند مایکروسافت آن را برای انطباق باسیستم های قدیمی نگه داشته است.

Embedi از ابزار BinScope مایکروسافت برای پیدا کردن آسیب پذیرهای اجرایی استفاده می کند. BinScope تجزیه و تحلیل دوتایی است برای بررسی اینکه یک پروژه با چرخه عمر امنیتی توسعه مایکروسافت (SDL) مطابقت دارد یا خیر.

برنامه SDL در سال 2002 همراه با یادداشت معروف Trustworthy Computing بیل گیتس متولد شد و مشخص کرد که چگونه ابتکارات امنیتی جدید از تکرار چندین شیوع مهم تروجان در آن زمان جلوگیری می کند، مانند کرم ILOVEYOU.

به عبارت دیگر، معادله ویرایشگر قبل از اینکه Microsoft شروع به ساخت نرم افزار با توجه به اصول SDLایجاد کرد، ساخته شده است.

BinScope به محققان کمک می کند مؤثرترین اجزای آفیس 2016 را پیدا کنند و EQNEDT32.EXE را بعنوان ناامن شناسایی کرد. یکی دیگر از ابزارهای مایکروسافت که به نام ProcessMitigations نامیده می شد، نشان داد که این پردازش چقدر آسیب پذیر است، چرا که حتی اجزای کامپایل شده در سال 2000 حتی فن آوری های مقابله با آسیب پذیری مانند DEP و ASLR را نیز نداشته اند.

این ماژول حتی توسط جدیدترین راهکارهای امنیتی مایکروسافت ویندوز 10 نیز محافظت نمی شود، مانند Control Flow Guard.

Embedi در technical write-up گفت: " بدین ترتیب، روشن است که اگر یک آسیب پذیری پیدا شد، هیچ گونه راهکار امنیت نمی تواند مانع حمله و بهره برداری از آن شود." مایکروسافت یک پچ برای آسیب پذیری Office منتشر کرد، به عنوان CVE-2017-11882 برچسب گذاری شده است، به روز رسانی روز سه شنبه ارائه شده است.

مایکروسافت توضیح می دهد: "بهره برداری از آسیب پذیری نیازمند آن است که یک کاربر یک فایل خاص را با یک نسخه آسیب دیده از نرم افزار Microsoft Office یا مایکروسافت WordPad باز کند."

مهاجمان می توانند از ایمیل یا وب برای حمله به یک کاربر استفاده کنند، اما باید برای باز کردن فایل جعلی کاربر را متقاعد کنند.

اشکال بر تمامی نسخه های قابل پشتیبانی Office، از Office 2016 تا Office 2007 SP3در ویندوز 7 تا ویندوز 10 تاثیر می گذارد.

Embedi یک سوءاستفاده ایجاد کرد که در برابر تمام نسخه های Office منتشر شده در 17 سال گذشته، از جمله Office 365، در ویندوز 7، ویندوز 8.1 و Windows 10 Creators Update به کار گرفته شده است.

آنها خاطرنشان می کنند که Office Protected View یک مانع بود، چرا که از اجرای ماکروها و Object Linked and Embedding (OLE) جلوگیری می نماید.

OLE توسط ویرایشگر معادله برای جاسازی داده ها و نمایش تصاویر در یک سند استفاده می کند. اما همانطور که بسیاری از حملات هدفمند اخیر با استفاده از اسناد اداری نشان داده اند، مهندسی اجتماعی می تواند از این کار جلوگیری کند.

شرکت امنیتی معتقد است که این جزء دارای آسیب پذیری های بسیار آسان و قابل استفاده است و توصیه می کند که آن را در رجیستری ویندوز غیرفعال کنید تا از بهره برداری جلوگیری شود. با این حال، اشاره می کند که Office Protected View نیز به طور قابل توجهی تهدید برای ویندوز 8.1 و ویندوز 10 را کاهش می دهد.