ماذا تفعل بشأن Visual Studio أدوات Office (VSTO) - بديل لـ VBA يستخدمه مجرمو الإنترنت

يوليو 27, 2022 ب فينه لام، مدير أول البرامج التقنية

شارك هذا المنشور

لطالما تم إساءة استخدام وحدات ماكرو VBA (Visual Basic for Applications) في مستندات Microsoft Office من قبل مؤلفي التهديدات للدخول إلى نظام مستهدف وتثبيت البرامج الضارة وبرامج الفدية. إذا سمح بتشغيل وحدات الماكرو تلقائيا ، فيمكن الاستفادة من وحدات الماكرو لتنفيذ تعليمات برمجية ضارة بمجرد فتح مستند MS. حتى عندما قام Microsoft Office بتعطيل تشغيل وحدات الماكرو وعرض شريط إعلام يحذر المستخدمين من المخاطر الأمنية لتشغيل وحدات الماكرو هذه ، كان لدى الجهات الفاعلة السيئة سيناريوهات مقنعة مختلفة لخداع المستخدمين للنقر فوق الزر "تمكين الماكرو". للمساعدة في مواجهة البرامج الضارة المستندة إلى الماكرو، تحظر Microsoft وحدات ماكرو Office التي تم الحصول عليها من الإنترنت في خمسة تطبيقات Office بشكل افتراضي بدءا من 27 يوليو 2022. ونتيجة لذلك، يتعذر على مستخدمي Access وExcel وPowerPoint وVisio وWord تمكين البرامج النصية للماكرو داخل الملفات غير الموثوق بها التي تم تنزيلها من الإنترنت.

تم الإعلان عن هذا التقييد باعتباره مغيرا لقواعد اللعبة في صناعة الأمن السيبراني. ومع ذلك ، هل يوفر حقا الأمان لمستخدمي MS؟ الإجابة لا. مجرمو الإنترنت بارعون في إيجاد طرق جديدة ومبتكرة لاختراق أنظمتك والتسلل إليها.

ناقل هجوم VSTO

أحد وسائل الهجوم الجديدة التي يستخدمها مجرمو الإنترنت كبديل لـ VBA هو Visual Studio أدوات Office (VSTO)، الذي يمكنه تصدير وظيفة إضافية مضمنة في مستند Office. يتيح ملف VSTO Office للمهاجمين خداع المستخدمين وتنفيذ تعليمات برمجية ضارة عن بُعد عبر تثبيت الوظيفة الإضافية.

ترتبط مستندات VSTO Office بتطبيق Visual Studio Office File ، المكتوب باستخدام .NET. إنه قادر على احتواء تعليمات برمجية عشوائية يمكن استخدامها لأغراض ضارة ، تماما مثل VBA. يمكن لمستندات VSTO Office إرفاق المراجع وبيانات التعريف لتنزيل ملف VSTO (تطبيق .NET) من الإنترنت بمجرد قيام المستخدمين بفتح الملف.

يوجد أدناه العرض التوضيحي المسجل الذي يوضح كيفية تنزيل ملف VSTO Word وتنفيذه لتطبيق ضار على جهاز الضحية.

تستطيع تقنية Deep CDR™ (إبطال مفعول المحتوى وإعادة هيكلته) إحباط هذا النوع من الهجمات الإلكترونية

انطلاقاً من مبدأ أن كل ملف يمثل تهديداً محتملاً، تعمل تقنية Deep CDR™ على اكتشاف جميع المكونات القابلة للتنفيذ المشبوهة المضمنة في الملفات وتحييدها، لضمان خلو جميع الملفات الواردة إلى مؤسستك من أي أضرار. ويُعد هذا النهج الأكثر فعالية لمنع البرامج الضارة المتطورة التي تتفادى أنظمة الحماية هجمات فورية.

شاهد العرض التوضيحي أدناه لترى كيف تم تعطيل ملف Word الخبيث الذي يستخدم VSTO بواسطة OPSWAT MetaDefender باستخدام تقنية Deep CDR™.

تعرف على المزيد حول تقنية Deep CDR™. لمعرفة كيف يمكننا مساعدتك في توفير حماية شاملة لمؤسستك ضد المستندات المُستخدمة كأسلحة، تواصل مع أحد OPSWAT الآن.