أكدت مايكروسوفت في 7 سبتمبر 2021 حدوث ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) في نظام التشغيل Windows 10. ويمكن لهذه الثغرة، المصنفة على أنها CVE-2021-40444 [1]، أن تمكّن مجرمي الإنترنت من التحكم عن بُعد في نظام مخترق وإنشاء هجمات فورية في البرية.
يكمن الخلل في MSHTML، وهو محرك عرض المتصفح في Internet Explorer. يُستخدم المحركأيضًا في مستندات Microsoft Office. ومن المعروف أن الثغرة CVE-2021-40444 تُستخدم حاليًا لإيصال حمولات Cobalt Strike - وهو إطار عمل لمحاكاة التهديدات التي يشيع استغلالها.
وقد حدد أحد الباحثين في شركة EXPMON هذه الثغرة لأول مرة في تغريدة على تويتر، قائلاً: "على مستخدمي Office توخي الحذر الشديد بشأن ملفات Office". وقد أبلغوا مايكروسوفت بالحادثة يوم الأحد 5 سبتمبر. كما أصدرت مايكروسوفت أيضًا نصيحة أمنية بعد ذلك بوقت قصير، مقترحةً حلولاً بديلة أثناء قيام الشركة بالتحقيق. في 14 سبتمبر، أصلحت مايكروسوفت الثغرة الأمنية [2].
كيف يستغل المهاجمون CVE-2021-40444
قد يقوم مجرمو الإنترنت بصياغة عنصر تحكم ActiveX خبيث داخل مستند Microsoft Office (.docx). يعمل هذا المستند كمضيف لمحرك عرض متصفح MSTHML وكائن OLEObject الذي يوجه إلى صفحة ويب مبنية.
وسيتعين على المهاجم بعد ذلك خداع هدفه لفتح هذا المستند. عند الفتح، سيستخدم محرك MSTHML عنصر تحكم ActiveX لتشغيل ملف HTML مع نصوص برمجية مشوشة، يلي ذلك تنزيل حمولات البرمجيات الخبيثة أو عناصر التحكم في الوصول عن بُعد.
وأشارت مايكروسوفت إلى أن المستخدمين الذين يتمتعون بحقوق المسؤول أكثر عرضة لمثل هذه الهجمات من أولئك الذين لا يتمتعون بحقوق المسؤول أو الذين يتمتعون بحقوق مستخدم أقل.
التخفيف والحلول البديلة
نصحت مايكروسوفت بأن تعطيل جميع عمليات تثبيت عنصر تحكم ActiveX في إنترنت إكسبلورر يمكن أن يساعد في التخفيف من الهجمات الحالية. ويمكن القيام بذلك عن طريق تكوين نهج المجموعة من خلال تحديث السجل باستخدام محرر نهج المجموعة المحلي.بعد التعطيل، لن يتم تثبيت عناصر تحكم ActiveX الجديدة، وسيستمر تشغيل عناصر تحكم ActiveX السابقة.
كيف يمكن لتقنية Deep CDR™ أن توفر الحماية ضد هجمات فورية
يمكن أن تساعد تقنية "إبطال مفعول المحتوى وإعادة بنائه" (CDR) في التخفيف من المخاطر المرتبطة بهذه الثغرة الأمنية. تعمل تقنية Deep CDR™ على افتراض أن جميع الملفات ضارة، ثم تقوم بتنقية مكونات الملف وإعادة بنائها لضمان إمكانية الاستخدام الكامل مع محتوى آمن. ويمكن لهذه التقنية أن "تبطل مفعول" جميع التهديدات المستندة إلى الملفات بشكل فعال، وكذلك التهديدات المعقدة والتهديدات التي تتعرف على بيئة الحماية (sandbox)، والتهديدات المزودة بتقنيات التهرب من البرامج الضارة مثل البرامج الضارة التي لا يمكن اكتشافها على الإطلاق أو التشفير.
في هذه الحالة، تعمل تقنية Deep CDR™ على إزالة جميع العناصر التي قد تشكل تهديدًا، مثل OLEObject وActiveX، من ملف المستند. وبعد عملية التطهير، لا يحتوي المستند بعد ذلك على الرابط HTML الضار.
تم فحص التهديدات التي اكتشفها منصّة MetaDefender السحابية وتدعم النتائج إجراءات التعقيم:
بعد التعقيم، تظهر النتائج أنه تمت إزالة OLEObject وأن الملف آمن للفتح:
نبذة عن تقنية Deep CDR™
تعد تقنية Deep CDR™ رائدة في السوق بفضل ميزاتها الفائقة، مثل معالجة الأرشيف على مستويات متعددة، ودقة إعادة إنشاء الملفات، ودعم أكثر من 100 نوع من الملفات. توفر تقنيتنا رؤية متعمقة لما يتم تنقيته وكيفية تنقية البيانات، مما يتيح لك اتخاذ قرارات مستنيرة وتحديد الإعدادات التي تلبي احتياجاتك. والنتيجة؟ ملفات آمنة يتم القضاء على 100% من التهديدات فيها في غضون أجزاء من الثانية، بحيث لا يتعطل سير عملك.
لمعرفة المزيد عن تقنية Deep CDR™ وكيف OPSWAT حماية مؤسستك، تواصل مع أحد خبرائنا المتخصصين في أمن البنية التحتية الحيوية.
مراجع
[1] "ثغرة في تنفيذ التعليمات البرمجية عن بُعد لـ MSHTML من مايكروسوفت". 2021. مركز الاستجابة الأمنية لمايكروسوفت. https://msrc.microsoft.com/upd.....
[2] "مايكروسوفت تصحح تصحيحات مايكروسوفت النشطة لاستغلال MSHTML في يوم الصفر في هجمات الاحتيال الإلكتروني (CVE-2021-40444)". 14 سبتمبر 2021. Help Net Security. https://www. helpnetsecurity.co....
