Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), εντόπισε τέσσερις ευπάθειες ασφαλείας που επηρεάζουν προϊόντα στη σουίτα του Microsoft Office, όπως το Excel και το Office online.
Τα συγκεκριμένα κενά ασφαλείας εφόσον αξιοποιηθούν σωστά μπορούν να παραχωρήσουν σε έναν εισβολέα τη δυνατότητα εκτέλεσης κώδικα στους στόχους του μέσω κακόβουλων εγγράφων του Office, όπως το Word (.DOCX), το Excel (.EXE) και το Outlook (.EML). Οι ευπάθειες είναι το αποτέλεσμα της ανάλυσης σφαλμάτων που έγιναν στον κώδικα παλαιού τύπου που βρέθηκε στο Excel95 File Formats, δίνοντας στους ερευνητές λόγους να πιστεύουν ότι τα ελαττώματα ασφαλείας υπάρχουν εδώ και αρκετά χρόνια.
Οι ευπάθειες ανακαλύφθηκαν με το “fuzzing” MSGraph, ένα στοιχείο που μπορεί να ενσωματωθεί σε προϊόντα του Microsoft Office προκειμένου να εμφανίσει γραφήματα και διαγράμματα. Το Fuzzing είναι μια αυτοματοποιημένη τεχνική δοκιμών λογισμικού που επιχειρεί να εντοπίσει επιρρεπή στο hacking σφάλματα λογισμικού, με τυχαία τροφοδοσία μη έγκυρων και μη αναμενόμενων δεδομένων σε ένα πρόγραμμα υπολογιστή, προκειμένου να βρεθούν σφάλματα κωδικοποίησης και κενά ασφαλείας.
Η CPR ανακάλυψε με τη χρήση αυτής της τεχνικής, ευπαθείς λειτουργίες στο MSGraph. Παρόμοιοι έλεγχοι κώδικα επιβεβαίωσαν ότι η ευάλωτη λειτουργία χρησιμοποιείται συνήθως σε πολλά διαφορετικά προϊόντα του Microsoft Office, όπως το Excel, το Office Online Server και το Excel για OSX.
Η Μεθοδολογία της Επίθεσης
Οι ευπάθειες που εντοπίστηκαν μπορούν να ενσωματωθούν στα περισσότερα έγγραφα του Office, και οι δυνατότητες επίθεσης μοιάζουν αμέτρητες. Το σενάριο που ακολουθεί είναι το απλούστερο που μπορούμε να φανταστούμε:
1. Το θύμα κατεβάζει ένα κακόβουλο αρχείο Excel (μορφή XLS). Το έγγραφο μπορεί να «φτάσει στα χέρια» του μέσω ενός συνδέσμου προς λήψη ή ενός email, αλλά ο εισβολέας δεν μπορεί να αναγκάσει το θύμα να το κατεβάσει
2. Το θύμα ανοίγει το κακόβουλο αρχείο Excel
3. Η ευπάθεια ενεργοποιείται
Δεδομένου ότι ολόκληρο το Office suite έχει τη δυνατότητα να ενσωματώσει αντικείμενα του Excel, διευρύνει τον ορίζοντα επίθεσης, καθιστώντας δυνατή την εκτέλεση μιας τέτοιας επίθεσης σε σχεδόν οποιοδήποτε Office λογισμικό, συμπεριλαμβανομένων των Word, Outlook και άλλων.
Η Ενημέρωση
Η CPR ενημέρωσε τη Microsoft, η οποία με τη σειρά της εξέδωσε τις ακόλουθες διορθώσεις CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Η τέταρτη ενημέρωση θα εκδοθεί στο Microsoft Patch σήμερα Τρίτη, 8 Ιουνίου 2021, ταξινομημένο ως CVE-2021-31939.
Πώς να ενημερώσετε τα Windows στο PC σας
1. Επιλέξτε το κουμπί Start/ Έναρξη και, στη συνέχεια, επιλέξτε Settings/Ρυθμίσεις> Update & security /Ενημέρωση και ασφάλεια> Windows Update.
2. Εάν θέλετε να ελέγξετε για ενημερώσεις με μη αυτόματο τρόπο, επιλέξτε Check for updates/ Έλεγχος για ενημερώσεις.
3. Επιλέξτε Advanced options / Επιλογές για προχωρημένους και, στη συνέχεια, επιλέξτε Choose how updates are installed /Επιλογή εγκατάστασης ενημερώσεων και τέλος επιλέξτε Automatic (recommended) /Αυτόματη (συνιστάται).
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Το 50% των τσιπ κέντρων δεδομένων φέτος θα έχει σχεδιαστεί από την Arm
Οι επεξεργαστές της Arm αποκτούν δημοτικότητα λόγω της χαμηλότερης κατανάλωσης ενέργειας - Οι Amazon, Google, Microsoft σχεδιάζουν τσιπ κέντρων δεδομένων που βασίζονται σε τεχνολογία της Arm
Η ΕΕ βάζει την Big Tech στο κάδρο του εμπορικού πολέμου - Ερχονται πρόστιμα σε Apple και Meta
Με φόντο την κλιμάκωση του εμπορικού πολέμου η Κομισιόν ετοιμάζεται να επιβάλει πρόστιμα στην αφρόκρεμα των αμερικανικών τεχνολογικών εταιρειών
Νορβηγία: Συνετρίβη ο πρώτος τροχιακός πύραυλος που εκτόξευσε η Ευρώπη
Ο πύραυλος εκτοξεύτηκε από διαστημοδρόμιο στη Νορβηγία - Η γερμανική εταιρεία Isar Aerospace είχε κάνει λόγο για «αρχική δοκιμή»
Ήρθε για να μείνει - Το blockchain, οι εφαρμογές του και οι προκλήσεις
Το blockchain είναι μια τεχνολογία που έχει αλλάξει ριζικά τον τρόπο που αντιλαμβανόμαστε τις συναλλαγές
Η τρέλα της OpenAI για το Ghibli... που πήρε περίεργη τροπή
Τα social media έχουν κατακλυστεί με εικόνες στο στυλ του ιαπωνικού οίκου κινουμένων σχεδίων Studio Ghibli που έχει ενσωματώσει της OpenAI
Πώς ο Τραμπ έριξε σε χαμηλό 27 ετών μετοχή αμερικανικής εταιρείας ημιαγωγών
Η Wolfspeed είναι σε αναμονή για κονδύλια ύψους περίπου 750 εκατομμυρίων δολαρίων από ομοσπονδιακή χρηματοδότηση
H EE «ρίχνει» 1,3 δισ. ευρώ σε ΑΙ, κυβερνοασφάλεια και ψηφιακές δεξιότητες
Οι επτά βασικές προτεραιότητες της Κομισιόν στο πλαίσιο του προγράμματος DIGITAL - Τι περιλαμβάνει
To τηλεσκόπιο James Webb κατέγραψε για πρώτη φορά το σέλας του Ποσειδώνα
Οι πρώτες ενδείξεις για σέλας στον Ποσειδώνα χρονολογούνται την εποχή της αποστολής Voyager και επιβεβαιώνονται μόλις τώρα.
Kaspersky: 3,6 φορές πάνω το κακόβουλο λογισμικό στο mobile banking
Νέα έκθεση της Kaspersky για τις οικονομικές κυβερνοαπειλές
Πώς το TikTok ενισχύει τις επιχειρήσεις και την ανάπτυξη τους
Η δύναμη του TikTok δεν περιορίζεται πλέον στη διασκέδαση - Από τα likes στις πωλήσεις
![Τουρκία: Μεγάλες βλέψεις για παραγωγή ηλεκτρικών οχημάτων [γράφημα]](https://www.ot.gr/wp-content/uploads/2025/03/ot_turkish_autos-90x90.png)
![BYD: Ποιος είναι ο Γουάνγκ Τσουανφού που χτίζει τα όνειρα της Κίνας [γράφημα]](https://www.ot.gr/wp-content/uploads/2025/03/ot_BYD_Ceo_CHUANFU-90x90.png)
![Ξενοδοχεία: «Τσίμπησαν» οι τιμές το 2024 – Πόσο κόστισε η διανυκτέρευση [πίνακας]](https://www.ot.gr/wp-content/uploads/2025/03/hotels-90x90.jpg)
![ΕΛΣΤΑΤ: Αυξήθηκε η οικοδομική δραστηριότητα κατά 15,6% το Δεκέμβριο [πίνακες]](https://www.ot.gr/wp-content/uploads/2025/03/DSC9655-2-1024x569-1-90x90.jpg)
