CVE-2023-21716: حماية ملفات RTF الضارة مع نزع سلاح المحتوى وإعادة بنائه

مار 21, 2023 ب نهوت نجو

شارك هذا المنشور

نظرة عامة على CVE-2023-21716 — تلف كومة الذاكرة المؤقتة لجدول خطوط Microsoft Word RTF

أصدرت Microsoft مؤخرا تحذيرا للأمان يصف CVE-2023-21716، وهي ثغرة أمنية خطيرة لتنفيذ التعليمات البرمجية عن بعد (RCE) تؤثر على العديد من إصدارات تطبيقات Office وSharePoint و365.

يتم تشغيل هذه الثغرة الأمنية بسبب ثغرة أمنية تلف كومة الذاكرة المؤقتة في محلل تنسيق النص المنسق (RTF) من Microsoft Word عند معالجة جدول خطوط (fonttbl) يحتوي على عدد زائد من الخطوط (f ###). يمكن استغلاله من قبل مهاجم عن طريق إرسال بريد إلكتروني ضار أو تحميل ملف يحتوي على حمولة RTF وإغراء المستخدم بفتح الملف.

عندما يفتح الضحية الملف الضار ، يحصل المهاجم على حق الوصول لتنفيذ تعليمات برمجية عشوائية داخل التطبيق المستخدم لفتح الملف. حتى جزء المعاينة يمكن استخدامه أيضا لشن هجوم. نتيجة لذلك ، قد يؤدي ذلك إلى تثبيت برامج ضارة أو سرقة بيانات حساسة أو أنشطة ضارة أخرى.

تم منح الثغرة الأمنية درجة CVSS 9.8 (حرجة) نظرا لقابليتها العالية للاستغلال والحد الأدنى من التفاعل المطلوب من الضحية.

قمنا بفحص ملف RFT يحتوي على تعليمات برمجية ضارة باستخدام OPSWAT MetaDefender، ولاحظنا أن 3 فقط من أصل 21 محرك لمكافحة البرامج الضارة اكتشفت التهديد. نتيجة لذلك ، من المحتمل أن تصبح المؤسسة التي تعتمد على طرق الكشف المستندة إلى التوقيع عرضة للهجمات.

لقطة شاشة لنتائج تحليل البرامج الضارة لملف RTF الضار

تؤثر الحلول البديلة للثغرات الأمنية على الإنتاجية

تثبيتت Microsoft تصحيحات في تحديث 14 فبراير 2023 ، تصحيح الثلاثاء. يوصون بتحديث المنتجات المتأثرة.

بالنسبة للمستخدمين الذين لا يمكنهم تطبيق الإصلاح، تقترح Microsoft العديد من الحلول البديلة لتقليل مخاطر قيام المستخدمين بفتح ملفات RTF من مصادر غير معروفة أو غير موثوق بها. ومع ذلك ، فإن الحلول ليست سهلة التنفيذ ولا فعالة في الحفاظ على الأنشطة التجارية العادية.

تقترح Microsoft قراءة رسائل البريد الإلكتروني بتنسيق نص عادي ، والذي من غير المرجح أن يتم اعتماده بسبب نقص النص المنسق والوسائط. على الرغم من أن هذا الحل يمكن أن يزيل التهديد ، إلا أنه لا يدعم عرض الصور أو الرسوم المتحركة أو النص الغامق أو المائل أو الخطوط الملونة أو تنسيقات النص الأخرى. ينتج عن هذا خسارة كبيرة في المعلومات المهمة في البريد الإلكتروني.
حل آخر هو تنشيط نهج Microsoft Office File Block ، الذي يقيد تطبيقات Office من فتح ملفات RTF التي لها أصول غير معروفة أو غير موثوق بها. من الضروري تعديل سجل Windows لتنفيذ هذه الطريقة. ومع ذلك ، يجب توخي الحذر ، حيث قد يتسبب الاستخدام غير الصحيح لمحرر التسجيل في حدوث مشكلات كبيرة قد تتطلب إعادة تثبيت نظام التشغيل. علاوة على ذلك ، إذا لم يتم تعيين "دليل معفي" ، فهناك احتمال ألا يتمكن المستخدمون من فتح أي مستندات RTF.

حافظ على أمانك دون حلول معقدة أو التضحية بقابلية الاستخدام

فبدلاً من التعامل مع الحلول المعقدة أو التضحية بقابلية استخدام الملفات، يقدم Deep CDR (نزع سلاح المحتوى وإعادة بنائه) علاجًا.

Deep CDR تحمي تقنية الحماية من التهديدات المتقدمة والتهديدات التي لا يمكن اختراقها. فهي تتعرف على المحتوى الضار وتزيله من الملفات الواردة، مثل مرفقات البريد الإلكتروني أو تحميل الملفات، مع توفير ملفات آمنة وقابلة للاستخدام.

من خلال إزالة جميع الكائنات المضمنة في ملفات RTF وإعادة بناء الملفات من مكونات آمنة تم التحقق منها، يضمن Deep CDR أن تكون الملفات معقمة وآمنة للوصول إليها، وخالية من أي تهديدات محتملة.

Deep CDR تتضمن العملية الخطوات التالية:

رسم تخطيطي لعملية Deep Content Disarm and Reconstruction

لقطة شاشة لخيارات تكوين ملف RTF لنزع سلاح المحتوى وإعادة بنائه

تعد تقنية CDR فعالة للغاية في الحماية من التهديدات المجهولة والمتطورة ، حيث لا تعتمد على اكتشاف وحظر توقيعات برامج ضارة محددة.

Deep CDR تمكين المسؤولين من تكوين عملية التعقيم لملفات RFT. للتأكد من أن ملفات الإخراج خالية من الثغرات، تخضع جميع ملفات RTF للتحليل لتحديد عدد الخطوط في جداول الخطوط الخاصة بها. إذا تجاوز العدد حداً تم تكوينه مسبقاً، يتم حذف جداول الخطوط من الملفات.

بشكل افتراضي ، تتم إزالة جداول الخطوط التي تحتوي على أكثر من 4096 خطا ، وهو حرف استهلالي قياسي. ومع ذلك ، يمكن تخصيص هذا التكوين لتمكين اتخاذ قرارات مستنيرة والتوافق مع حالة الاستخدام المحددة الخاصة بك.

Deep CDR يوفر طرق عرض متعمقة، مع سرد الكائنات التي تم تطهيرها والإجراءات المتخذة - مما يتيح لك اتخاذ خيارات مستنيرة لتحديد التكوينات التي تلبي حالة الاستخدام الخاصة بك. فيما يلي نتيجة ملف RTF الضار بعد تعقيمه بواسطة Deep CDR. تمت إزالة الخط المضمن، مما أدى إلى إزالة ناقل الهجوم. ونتيجة لذلك، يمكن للمستخدمين فتح الملف دون القلق من التعرض للاختراق.

لقطة شاشة لملف RTF مع إزالة الخطوط المضمنة

يمكننا ملاحظة أنه تمت إزالة الخط المضمن غير الطبيعي عن طريق فتح كل من ملف RTF الضار الأصلي والإصدار المعقم.

صورة لمقارنة جنبا إلى جنب بين ملفين RTF. تعرض الصورة اليسرى ملف RTF بخط مضمن ضار. تظهر الصورة اليمنى ملفا مطهرا بدون خط مضمن ضار.

اكتشف أفضل حل أمني للوقاية من البرمجيات الضارة في يوم الصفر والبرمجيات الضارة المراوغة المتقدمة من خلال معرفة المزيد عن Deep CDR و Multiscanningأو بالتشاور مع خبير تقني OPSWAT .

آخر المقالات

الذكاء الاصطناعي المعادي: كيف تحمي MFT الأمنية أولاً الأنظمة الحكومية من الهجمات القائمة على ملفات الذكاء الاصطناعي
أغسطس 11 2025
إعلان إصدارSecurity SDK Endpoint MetaDefender | أغسطس 2025
أغسطس 11 2025
ISE CVE-2025-20282: حالة التحقق من صحة الملفات في الدفاع ضد ثغرات التحميل
أغسطس 11 2025
MetaDefender MFT 3.10.0
أغسطس 11 2025
كشف يوم الصفر: كيفية تحديد الهجمات ومنعها
أغسطس 8 2025

اشترك في التثبيتة الإخبارية OPSWAT

احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.

سجّلني

تابعنا على مواقع التواصل الاجتماعي Media

اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

ابق على اطلاع دائم OPSWAT!

اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.