لطالما تم إساءة استخدام وحدات ماكرو VBA (Visual Basic for Applications) في مستندات Microsoft Office من قبل مؤلفي التهديدات للدخول إلى نظام مستهدف وتثبيت البرامج الضارة وبرامج الفدية. إذا سمح بتشغيل وحدات الماكرو تلقائيا ، فيمكن الاستفادة من وحدات الماكرو لتنفيذ تعليمات برمجية ضارة بمجرد فتح مستند MS. حتى عندما قام Microsoft Office بتعطيل تشغيل وحدات الماكرو وعرض شريط إعلام يحذر المستخدمين من المخاطر الأمنية لتشغيل وحدات الماكرو هذه ، كان لدى الجهات الفاعلة السيئة سيناريوهات مقنعة مختلفة لخداع المستخدمين للنقر فوق الزر "تمكين الماكرو". للمساعدة في مواجهة البرامج الضارة المستندة إلى الماكرو، تحظر Microsoft وحدات ماكرو Office التي تم الحصول عليها من الإنترنت في خمسة تطبيقات Office بشكل افتراضي بدءا من 27 يوليو 2022. ونتيجة لذلك، يتعذر على مستخدمي Access وExcel وPowerPoint وVisio وWord تمكين البرامج النصية للماكرو داخل الملفات غير الموثوق بها التي تم تنزيلها من الإنترنت.
تم الإعلان عن هذا التقييد باعتباره مغيرا لقواعد اللعبة في صناعة الأمن السيبراني. ومع ذلك ، هل يوفر حقا الأمان لمستخدمي MS؟ الإجابة لا. مجرمو الإنترنت بارعون في إيجاد طرق جديدة ومبتكرة لاختراق أنظمتك والتسلل إليها.
ناقل هجوم VSTO
ناقل هجوم جديد ناشئ يستخدمه مجرمو الإنترنت كبديل ل VBA هو أدوات Visual Studio for Office (VSTO) ، والتي يمكنها تصدير وظيفة إضافية مضمنة داخل مستند Office. يمكن ملف VSTO Office المهاجمين من تصيد المستخدمين وتنفيذ تعليمات برمجية ضارة عن بعد عبر تثبيت الوظيفة الإضافية.
ترتبط مستندات VSTO Office بتطبيق Visual Studio Office File ، المكتوب باستخدام .NET. إنه قادر على احتواء تعليمات برمجية عشوائية يمكن استخدامها لأغراض ضارة ، تماما مثل VBA. يمكن لمستندات VSTO Office إرفاق المراجع وبيانات التعريف لتنزيل ملف VSTO (تطبيق .NET) من الإنترنت بمجرد قيام المستخدمين بفتح الملف.
يوجد أدناه العرض التوضيحي المسجل الذي يوضح كيفية تنزيل ملف VSTO Word وتنفيذه لتطبيق ضار على جهاز الضحية.
Deep CDR يمكن لتقنية (نزع سلاح المحتوى وإعادة الهيكلة) أن تبطل مفعول هذا النوع من الهجمات الإلكترونية
وبعقلية أن كل ملف يمثل تهديداً محتملاً، يقوم Deep CDR باكتشاف وتحييد جميع المكونات القابلة للتنفيذ المشبوهة المضمنة في الملفات لضمان أن جميع الملفات الواردة إلى مؤسستك ليست ضارة. هذا هو النهج الأكثر فعالية لمنع البرمجيات الخبيثة المراوغة المتقدمة و هجمات فورية.
شاهد العرض التوضيحي أدناه لترى كيف تم إلغاء تنشيط ملف VSTO Word الخبيث عن طريق OPSWAT MetaDefender باستخدام Deep CDR.
تعرف على المزيد حول تقنيةDeep CDR . لمعرفة كيف يمكننا مساعدتك في توفير حماية شاملة لمؤسستك ضد المستندات المسلّحة، تحدث إلى أحد المتخصصين في OPSWAT الآن.
مرجع
يتم حظر وحدات الماكرو من الإنترنت بشكل افتراضي في Office - تثبيت Office
اجعل التصيد الاحتيالي رائعا مرة أخرى. ملفات مكتب VSTO هي كابوس الماكرو الجديد؟
