خطأ في Microsoft Office XSS يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية

 أثارت الثغرة الأمنية التي تم اكتشافها مؤخرًا في Microsoft Office Word مخاوف بشأن أمان مجموعة الإنتاجية الشائعة. 

تسمح هذه الثغرة الأمنية، المصنفة على أنها ثغرة أمنية في البرمجة النصية عبر المواقع (XSS) ، للمهاجمين بتنفيذ تعليمات برمجية عشوائية لـ JavaScript داخل مستند Word.

ثغرة XSS

تقدم العديد من منتجات Office، بما في ذلك Microsoft Word، ميزة تتيح للمستخدمين إدراج مقاطع فيديو خارجية في المستندات من خلال علامة التبويب "مقاطع الفيديو عبر الإنترنت".

ثغرة XSS

عندما يحاول مستخدم تشغيل مقطع فيديو خارجي مضمن في مستند، يتحقق Office لتحديد ما إذا كان مصدر الفيديو الخارجي جديرًا بالثقة. 

يتضمن هذا التحقق تطبيق تعبير عادي على عنوان URL للفيديو، والذي يتضمن مصادر موثوقة مثل YouTube.

إذا تم اعتبار المصدر جديرًا بالثقة، يطلب المكتب جلب بيانات مثل عنوان الفيديو أو الصورة المصغرة. ومع ذلك، تنشأ الثغرة الأمنية في كيفية تعامل Office مع عنوان الفيديو ضمن علامة HTML iframe.

يستجيب الخادم بالمعلومات، بما في ذلك عنوان الفيديو ووصفه وعلامة HTML iframe. 

تكمن المشكلة في أن الخادم يضيف عنوان الفيديو إلى سمة "العنوان" لعلامة iframe دون التحقق المناسب. 

ونتيجة لذلك، يمكن للمهاجمين التعامل مع علامة iframe عن طريق إضافة سمة "unload"، مما يمكنهم من إدخال تعليمات برمجية عشوائية لـ JavaScript.

استغلال

لاستغلال هذه الثغرة الأمنية، يمكن للمهاجم إنشاء مقطع فيديو على YouTube بعنوان يتضمن حمولة لإدراج سمة "onload"، كما جاء في تقرير PKsecurity . 

ثم يقومون بإدراج عنوان URL لهذا الفيديو الضار في مستند Word باستخدام علامة التبويب مقاطع الفيديو عبر الإنترنت. عند تشغيل الفيديو، يتم تنفيذ كود JavaScript الذي تم إدخاله.

استغلال

فيما يلي نظرة عامة مبسطة على الخطوات التي قد يتخذها المهاجم لاستغلال هذا الخلل:

1. أنشئ مقطع فيديو على YouTube يحتوي على حمولة في العنوان.
2. أدخل عنوان URL للفيديو الضار في مستند Word.
3. قم بإعداد خادم ويب لخدمة تعليمات JavaScript البرمجية الضارة.

تداعيات

تتيح هذه الثغرة الأمنية للمهاجمين تنفيذ تعليمات برمجية JavaScript عشوائية عند تشغيل مقطع فيديو مضمن في مستند Word. 

على الرغم من أن الأمر قد لا يبدو مثيرًا للقلق على الفور، إلا أنه تجدر الإشارة إلى أن عمليات الاستغلال الحاسمة السابقة في تطبيقات Office غالبًا ما كانت تبدأ بتنفيذ JavaScript عشوائيًا.

من المحتمل أن يؤدي استغلال هذه الثغرة الأمنية إلى حدوث ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد (RCE) إذا تم دمجها مع معرف موارد موحد (URI) ضعيف جديد. 

وهذا يجعل من الضروري بالنسبة لشركة Microsoft معالجة هذه المشكلة وتصحيحها على الفور. يؤكد عيب Microsoft Office XSS على أهمية تحديث البرامج والحذر بشأن المحتوى المضمن في المستندات. 

يجب أن يكون المستخدمون على دراية بالمخاطر الأمنية المحتملة المرتبطة بمحتوى الفيديو، خاصة عندما يأتي من مصادر غير موثوقة.