Η Check Point Software ανακάλυψε τέσσερις ευπάθειες ασφαλείας στο Microsoft Office
Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), εντόπισε τέσσερις ευπάθειες ασφαλείας που επηρεάζουν προϊόντα στη σουίτα του Microsoft Office, όπως το Excel και το Office online.
Τα συγκεκριμένα κενά ασφαλείας εφόσον αξιοποιηθούν σωστά μπορούν να παραχωρήσουν σε έναν
Η Ανακάλυψη
Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), ανακάλυψε τις ευπάθειες με το “fuzzing” MSGraph, ένα στοιχείο που μπορεί να ενσωματωθεί σε προϊόντα του Microsoft Office προκειμένου να εμφανίσει γραφήματα και διαγράμματα. Το Fuzzing είναι μια αυτοματοποιημένη τεχνική δοκιμών λογισμικού που επιχειρεί να εντοπίσει επιρρεπή στο hacking σφάλματα λογισμικού, με τυχαία τροφοδοσία μη έγκυρων και μη αναμενόμενων δεδομένων σε ένα πρόγραμμα υπολογιστή, προκειμένου να βρεθούν σφάλματα κωδικοποίησης και κενά ασφαλείας. Η CPR ανακάλυψε με τη χρήση αυτής της τεχνικής, ευπαθείς λειτουργίες στο MSGraph. Παρόμοιοι έλεγχοι κώδικα επιβεβαίωσαν ότι η ευάλωτη λειτουργία χρησιμοποιείται συνήθως σε πολλά διαφορετικά προϊόντα του Microsoft Office, όπως το Excel, το Office Online Server και το Excel για OSX.
Η Μεθοδολογία της Επίθεσης
Οι ευπάθειες που εντοπίστηκαν μπορούν να ενσωματωθούν στα περισσότερα έγγραφα του Office, και οι δυνατότητες επίθεσης μοιάζουν αμέτρητες. Το σενάριο που ακολουθεί είναι το απλούστερο που μπορούμε να φανταστούμε:
1. Το θύμα κατεβάζει ένα κακόβουλο αρχείο Excel (μορφή XLS). Το έγγραφο μπορεί να «φτάσει στα χέρια» του μέσω ενός συνδέσμου προς λήψη ή ενός email, αλλά ο εισβολέας δεν μπορεί να αναγκάσει το θύμα να το κατεβάσει
2. Το θύμα ανοίγει το κακόβουλο αρχείο Excel
3. Η ευπάθεια ενεργοποιείται
Δεδομένου ότι ολόκληρο το Office suite έχει τη δυνατότητα να ενσωματώσει αντικείμενα του Excel, διευρύνει τον ορίζοντα επίθεσης, καθιστώντας δυνατή την εκτέλεση μιας τέτοιας επίθεσης σε σχεδόν οποιοδήποτε Office λογισμικό, συμπεριλαμβανομένων των Word, Outlook και άλλων.
Η Ενημέρωση
Η CPR με αίσθημα ευθύνης ενημέρωσε τη Microsoft, η οποία με τη σειρά της εξέδωσε τις ακόλουθες διορθώσεις CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Η τέταρτη ενημέρωση θα εκδοθεί στο Microsoft Patch σήμερα Τρίτη, 8 Ιουνίου 2021, ταξινομημένο ως CVE-2021-31939.
Πώς να ενημερώσετε τα Windows στο PC σας
1. Επιλέξτε το κουμπί Start/ Έναρξη και, στη συνέχεια, επιλέξτε Settings/Ρυθμίσεις> Update & security /Ενημέρωση και ασφάλεια> Windows Update.
2. Εάν θέλετε να ελέγξετε για ενημερώσεις με μη αυτόματο τρόπο, επιλέξτε Check for updates/ Έλεγχος για ενημερώσεις.
3. Επιλέξτε Advanced options / Επιλογές για προχωρημένους και, στη συνέχεια, επιλέξτε Choose how updates are installed /Επιλογή εγκατάστασης ενημερώσεων και τέλος επιλέξτε Automatic (recommended) /Αυτόματη (συνιστάται).
Ο Yaniv Balmas, Head of Cyber Research στην Check Point Software δήλωσε σχετικά:
«Οι ευπάθειες που εντοπίστηκαν επηρεάζουν σχεδόν όλο το οικοσύστημα του Microsoft Office. Είναι πιθανό μια τέτοια επίθεση να εκτελεστεί σε οποιοδήποτε σχεδόν λογισμικό του Office, συμπεριλαμβανομένων των Word, Outlook και άλλων. Μάθαμε ότι οι ευπάθειες οφείλονται στην ανάλυση των λαθών που έγιναν στον κώδικα παλαιού τύπου. Ένα από τα βασικά διδάγματα από την έρευνά μας είναι ότι ο παλαιός κώδικας εξακολουθεί να είναι ένας αδύναμος κρίκος στην αλυσίδα ασφαλείας, ειδικά σε ένα περίπλοκο λογισμικό όπως το Microsoft Office. Παρόλο που βρήκαμε μόνο τέσσερα τρωτά σημεία κατά την έρευνά μας, δεν μπορούμε ποτέ να πούμε αν και πόσες ευπάθειες όπως αυτές, εξακολουθούν να περιμένουν να βρεθούν. Προτρέπω τους χρήστες των Windows να ενημερώσουν αμέσως το λογισμικό τους, καθώς υπάρχουν πολλές και πιθανές δυνατότητες επίθεσης από έναν εισβολέα που ενεργοποιεί τις ευπάθειες που βρήκαμε.»
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Δημοφιλέστερες Ειδήσεις TechPress
- Τελευταία Νέα TechPress
- Η Check Point Software ανακάλυψε τέσσερις ευπάθειες ασφαλείας στο Microsoft Office
- Η realme ανακοινώνει το realme GT και τη νέα στρατηγική της στην τεχνητή νοημοσύνη
- Samsung Health Monitor: Δύο νέοι λόγοι για να χρησιμοποιήσετε το νέο Health app
- United Group: Eπικαιροποίηση των βασικών οικονομικών στοιχείων
- TCL European Brand Ambassadors
- Apple: Νέα λειτουργικά συστήματα εισάγουν καινοτόμες τεχνολογίες σε όλες τις συσκευές
- Η TP-Link ανακηρύσσεται ως ο Νο.1 πάροχος προϊόντων Wi-Fi στον κόσμο την τελευταία δεκαετία
- Huawei: Η ενέργεια αποτελεί θεμέλιο λίθο για την πράσινη αειφόρο ανάπτυξη της οικονομίας μας
- Cosmote 5G: Eπιταχύνεται η ανάπτυξη του δικτύου
- «Πράσινος» στόλος οχημάτων με το μεγαλύτερο δίκτυο ηλεκτρικής φόρτισης για τη Vodafone Ελλάδας
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Η Yooreka Studio ανακοίνωσε το Loopmancer (trailer)
- Ανακοινώθηκε το city builder Terra Nil για PC (trailer)
- Τον Ιούλιο το Season Pass 1 του Guilty Gear: Strive με 5 νέους χαρακτήρες (trailer)
- Ανακοινώθηκε το metroidvania game Elderand (trailer)
- Κυκλοφόρησε το trailer της ταινίας Ron’s Gone Wrong με πρωταγωνιστή τον Zach Galifianakis
- The Smurfs Mission Vileaf: Στρουμφάκια τον Οκτώβριο
- Έρχεται το Omen of Sorrow για Xbox One μέσα στο 2021
- Με UFOs και Superman συνεχίζεται η σεζόν του Fortnite (trailer)
- Ανακοινώθηκαν οι προπαραγγελίες και τα πρώτα παιχνίδια της κονσόλας Playdate (video)
- Apple και Google θέλουν να κάνουν τα κλειδιά μας ψηφιακά
