سه روش برتر سواستفاده از MS Office که هکرها در ۲۰۲۵ از آن‌ها سوءاستفاده می‌کنند – هوشیار باشید!

استفاده از اسناد Word و Excel برای حملات سایبری در ۲۰۲۵ همچنان ادامه دارد. هکرها سال‌هاست که از اسناد Word و Excel برای توزیع بدافزار استفاده می‌کنند و این روش‌ها هنوز هم در ۲۰۲۵ کاربرد دارند. از حملات فیشینگ گرفته تا سوءاستفاده‌های بدون نیاز به کلیک(zero-click exploits)، فایل‌های مخرب Office همچنان یکی از آسان‌ترین راه‌ها برای نفوذ به سیستم قربانیان محسوب می‌شوند.

در اینجا سه روش برتر سواستفاده از MS Office  و روش‌های جلوگیری از آن‌ها آورده شده است:

۱. فیشینگ در MS Office: همچنان روش مورد علاقه هکرها

حملات فیشینگ با استفاده از فایل‌های Microsoft Office سال‌هاست که رواج دارند و همچنان مؤثر هستند. دلیل اصلی این موفقیت این است که در محیط‌های کاری، تیم‌ها به طور مداوم اسناد Word و Excel را رد و بدل می‌کنند.

هکرها از این آگاهی سوءاستفاده می‌کنند، زیرا کاربران عادت دارند که این فایل‌ها را باز کنند، مخصوصاً اگر از طرف یک همکار، مشتری یا شریک تجاری به نظر برسند. فاکتورهای جعلی، گزارش‌های اشتراکی یا پیشنهادات شغلی همگی نمونه‌هایی از طعمه‌هایی هستند که برای فریب کاربران استفاده می‌شوند.

فیشینگ با فایل‌های Office معمولاً برای سرقت اطلاعات ورود به سیستم انجام می‌شود. این اسناد ممکن است شامل موارد زیر باشند:

• لینک‌های جعلی به صفحات ورود Microsoft 365
• پورتال‌های فیشینگ که ابزارها یا سرویس‌های شرکتی را تقلید می‌کنند
• زنجیره‌های تغییر مسیر که در نهایت قربانی را به صفحات جمع‌آوری اطلاعات هدایت می‌کنند

برخی از حملات جدیدتر شامل اسنادی هستند که کدهای QR در آن‌ها تعبیه شده است. کاربران با اسکن این کدها با گوشی‌های هوشمند خود، به وب‌سایت‌های فیشینگ هدایت می‌شوند یا یک بدافزار را دانلود می‌کنند.

۲. آسیب‌پذیری CVE-2017-11882: بهره‌برداری از Equation Editor همچنان ادامه دارد

این آسیب‌پذیری که برای اولین بار در ۲۰۱۷ کشف شد، هنوز هم در سیستم‌هایی که نسخه‌های قدیمی Microsoft Office را اجرا می‌کنند، مورد سوءاستفاده قرار می‌گیرد.

این نقص امنیتی، بخش Microsoft Equation Editor را هدف قرار می‌دهد. تنها با باز کردن یک فایل Word آلوده، این اکسپلویت فعال می‌شود، بدون نیاز به فعال‌سازی ماکرو یا کلیک اضافی.

در این حمله، مهاجم از این نقص برای دانلود و اجرای بدافزار در پس‌زمینه استفاده می‌کند. در برخی موارد، این بدافزار یک ابزار جاسوسی مانند Agent Tesla است که می‌تواند بعنوان کی‌لاگر عمل کرده و اطلاعات ورود و داده‌های کلیپ‌بورد را سرقت کند.

با وجود اینکه Microsoft این آسیب‌پذیری را مدت‌ها پیش اصلاح کرده است، اما همچنان توسط مهاجمان برای نفوذ به سیستم‌های به‌روز نشده مورد استفاده قرار می‌گیرد.

۳. آسیب‌پذیری CVE-2022-30190: سوءاستفاده از Follina همچنان در جریان است

حمله Follina (CVE-2022-30190) همچنان یکی از ابزارهای محبوب هکرهاست، زیرا بدون نیاز به فعال‌سازی ماکرو و تنها با باز کردن یک فایل Word اجرا می‌شود.

Follina از Microsoft Support Diagnostic Tool (MSDT) و URLهای جاسازی‌شده در اسناد Office برای اجرای کد از راه دور استفاده می‌کند. این یعنی تنها باز کردن یک فایل کافی است تا یک اسکریپت مخرب (معمولاً PowerShell) اجرا شده و به سرور فرمان و کنترل متصل شود.

در برخی از حملات، این روش با تکنیک پنهان‌نگاری (Steganography) ترکیب شده است، که در آن بدافزار درون فایل‌های تصویری پنهان می‌شود. این تصویر با استفاده از PowerShell دانلود و پردازش می‌شود و بدون ایجاد هشدار، کد مخرب اصلی از آن استخراج می‌شود.

چگونه از حملات بر پایه Office جلوگیری کنیم؟

اگر تیم شما به‌طور گسترده از Microsoft Office استفاده می‌کند، باید اقدامات امنیتی مناسبی اتخاذ کنید:

• نحوه‌ی مدیریت اسناد Office را بازبینی کنید و دسترسی به فایل‌های خارجی را محدود کنید.
• از ابزارهایی مانند ANY.RUN برای بررسی فایل‌های مشکوک در یک محیط ایزوله استفاده کنید.
• نرم‌افزار Office را به‌روزرسانی کنید و ویژگی‌های قدیمی مانند ماکروها و Equation Editor را غیرفعال کنید.

در مورد روش‌های جدید سوءاستفاده از فرمت‌های Office آگاه باشید تا بتوانید سریع واکنش نشان دهید.

منبع: https://thehackernews.com/2025/03/top-3-ms-office-exploits-hackers-use-in.html