في شهر يناير 2025 وحده، تلقى المعهد الوطني للمعايير والتكنولوجيا والابتكار 4,085 ثغرة أمنية مذهلة في شهر يناير 2025 وحده، مما أدى إلى بداية عام شديدة الخطورة بشكل استثنائي مع تصاعد التهديدات التي يتم استغلالها بشكل نشط. ومن أبرز هذه الثغرات، الثغرة الأمنية CVE-2025-21298، وهي ثغرة أمنية في نظام التشغيل Microsoft Windows OLE من دون نقر (تنفيذ التعليمات البرمجية عن بُعد) في نظام التشغيل Microsoft Windows OLE، وقد حصلت على درجة CVSS 9.8. وتسمح هذه الثغرة الأمنية للمهاجمين باختراق الأنظمة ببساطة عن طريق خداع المستخدمين لمعاينة رسالة بريد إلكتروني خبيثة بتنسيق RTF في Outlook - دون الحاجة إلى نقرات.
في هذه المدونة، نحلل في هذه المدونة الفروق الفنية الدقيقة لهذه الثغرة، ونستكشف كيف OPSWAT MetaDefender Core للتخفيف من حدة تهديدات يوم الصفر هذه، وتقديم توصيات قابلة للتنفيذ للمؤسسات.
فهم نقاط الضعف
الاستفادة من تقنية الهجوم بدون نقرات
يستغل هجوم النقر الصفري الثغرات البرمجية لإطلاق هجوم دون أي تدخل من المستخدم. وهذا يعني أنه يمكن تثبيت البرمجيات الخبيثة أو تنفيذ إجراءات خبيثة أخرى على جهاز المستخدم دون أن ينقر الهدف على رابط أو يفتح ملفاً أو يتخذ أي إجراء، مما يجعلها خطيرة بشكل خاص ويصعب اكتشافها.
التدفق الهجومي CVE-2025-21298
توجد الثغرة الأمنية في نظام Windows OLE، وتحديداً في OLE32.DLL المكتبة UtOlePresPresStmToContentsStm الدالة. تقوم هذه الدالة بمعالجة تحويل البيانات داخل هياكل تخزين OLE ولكنها تحتوي على مشكلة تلف في الذاكرة يمكن للمهاجمين استغلالها لتنفيذ تعليمات برمجية عشوائية.
يقوم المهاجم بإرسال مستند RTF مصمم خصيصاً يحتوي على كائنات OLE خبيثة عبر البريد الإلكتروني. عند وصولها إلى نظام الضحية، يقوم عميل البريد الإلكتروني بمعالجة المرفق عندما يقوم المستلم بفتح الرسالة أو معاينتها في Microsoft Outlook. يتفاعل نظام Windows OLE مع الكائنات المضمنة، مستخدماً نظام Windows OLE الضعيف UtOlePresPresStmToContentsStm دالة لمعالجة OLE.
خلال هذه المرحلة، تحاول الدالة تحويل البيانات داخل هياكل تخزين OLE، مما يؤدي إلى تلف الذاكرة. ويؤدي تلف الذاكرة هذا إلى تمكين RCE، مما يمنح المهاجمين القدرة على تنفيذ أوامر عشوائية على النظام المخترق بنفس امتيازات المستخدم الحالي.
تم بالفعل نشر ثغرة لإثبات صحة مفهوم CVE-2025-21298 على GitHub لإعادة إنتاج هذا الهجوم.
منع الثغرات الأمنية في يوم الصفر باستخدام OPSWAT MetaDefender Core
تمثل ثغرات يوم الصفر أكثر التهديدات تحدياً في مجال الأمن السيبراني الحديث، حيث تظهر بشكل غير متوقع ويمكن استغلالها قبل أن يتوفر الوقت الكافي للبائعين لإصدار تصحيحات. وغالباً ما تتيح هذه الثغرات الخطيرة اختراقاً فورياً للنظام، مما يمنح المدافعين الحد الأدنى من الوقت للرد. وتُعد الثغرة CVE-2025-21298 ثغرة خطيرة بشكل خاص من ثغرات يوم الصفر.
OPSWAT MetaDefender Core is positioned at the forefront of advanced threat detection and prevention, offering a multi-layered approach to security that is particularly effective against zero-day attacks like CVE-2025-21298. It leverages Metascan™ Multiscanning, Deep CDR™ Technology and Adaptive Sandbox to detect and neutralize threats before they can reach critical systems.
كخط دفاع أول، يقوم Metascan Multiscanning بفحص مرفق البريد الإلكتروني الذي يحتوي على ملف RTF الخبيث. يمكن لخمسة محركات من أصل 34 محركًا اكتشاف CVE-2025-21298.
Next, Deep CDR™ Technology proactively sanitizes files by removing potentially malicious elements while preserving the file's usability. To mitigate the risks associated with CVE-2025-21298, we first enable “Remove Embedded Object” for RTF under the Deep CDR™ Technology configuration pane.
Once enabled, Deep CDR™ Technology identifies this embedded object as a suspicious node and removes the RTF.
While Deep CDR™ Technology focuses on malicious object removal and file sanitization, Adaptive Sandbox provides an additional layer of protection by using emulation-based detonation to analyze malicious behaviors and IOCs (indicators of compromise).
توصيات التنفيذ
- Deploy Deep CDR™ Technology at email gateways to sanitize all incoming files with embedded RTFs.
- قم بتكوين Adaptive Sandbox لتفجير الملفات المشبوهة بأمان قبل تسليمها.
- تنفيذ مراقبة شاملة لمحاولات الاستغلال المحتملة.
لماذا تثق الشركات في OPSWAT Advanced تهديد Detection والوقاية منها
تعتمد المؤسسات في مختلف الصناعات، بما في ذلك التمويل والرعاية الصحية والبنية التحتية الحيوية، على OPSWAT MetaDefender Core من أجل:
- Industry-Leading Zero-Day Protection: Advanced security measures like Deep CDR™ Technology and Adaptive Sandbox provide unparalleled defense against emerging threats.
- دعم الامتثال التنظيمي:حلول OPSWAT حلول الامتثال لمعايير الأمان مثل GDPR و HIPAA و NIST من خلال ضمان سياسات صارمة لتطهير الملفات.
- التكامل السلس مع البنية التحتية الأمنية الحالية: يتكامل MetaDefender Core مع أنظمة إدارة معلومات SIEM وجدران الحماية ومنصات حماية نقاط النهاية للكشف عن التهديدات والوقاية منها بشكل شامل.
- قابلية التوسع لبيئات المؤسسات: مصممة للتعامل مع كميات كبيرة من البيانات، مما يضمن الأمان دون المساس بالأداء.
الأفكار إغلاق
CVE-2025-21298 represents a serious threat to organizations, but with proactive security measures, businesses can prevent catastrophic breaches. OPSWAT MetaDefender Core, with its Deep CDR™ Technology, Metascan Multiscanning, and Adaptive Sandbox capabilities, provides cutting-edge protection against zero-day exploits. By implementing multi-layered security strategies and leveraging OPSWAT’s advanced threat prevention technologies, organizations can effectively neutralize emerging cyberthreats and safeguard their critical assets.
هل أنت مهتم بـ OPSWAT MetaDefender Core
