أكدت مايكروسوفت في 7 سبتمبر 2021 حدوث ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) في نظام التشغيل Windows 10. ويمكن لهذه الثغرة، المصنفة على أنها CVE-2021-40444 [1]، أن تمكّن مجرمي الإنترنت من التحكم عن بُعد في نظام مخترق وإنشاء هجمات فورية في البرية.
يكمن الخلل في MSHTML، وهو محرك عرض المتصفح في Internet Explorer. يُستخدم المحركأيضًا في مستندات Microsoft Office. ومن المعروف أن الثغرة CVE-2021-40444 تُستخدم حاليًا لإيصال حمولات Cobalt Strike - وهو إطار عمل لمحاكاة التهديدات التي يشيع استغلالها.
وقد حدد أحد الباحثين في شركة EXPMON هذه الثغرة لأول مرة في تغريدة على تويتر، قائلاً: "على مستخدمي Office توخي الحذر الشديد بشأن ملفات Office". وقد أبلغوا مايكروسوفت بالحادثة يوم الأحد 5 سبتمبر. كما أصدرت مايكروسوفت أيضًا نصيحة أمنية بعد ذلك بوقت قصير، مقترحةً حلولاً بديلة أثناء قيام الشركة بالتحقيق. في 14 سبتمبر، أصلحت مايكروسوفت الثغرة الأمنية [2].
كيف يستغل المهاجمون CVE-2021-40444
قد يقوم مجرمو الإنترنت بصياغة عنصر تحكم ActiveX خبيث داخل مستند Microsoft Office (.docx). يعمل هذا المستند كمضيف لمحرك عرض متصفح MSTHML وكائن OLEObject الذي يوجه إلى صفحة ويب مبنية.
وسيتعين على المهاجم بعد ذلك خداع هدفه لفتح هذا المستند. عند الفتح، سيستخدم محرك MSTHML عنصر تحكم ActiveX لتشغيل ملف HTML مع نصوص برمجية مشوشة، يلي ذلك تنزيل حمولات البرمجيات الخبيثة أو عناصر التحكم في الوصول عن بُعد.
وأشارت مايكروسوفت إلى أن المستخدمين الذين يتمتعون بحقوق المسؤول أكثر عرضة لمثل هذه الهجمات من أولئك الذين لا يتمتعون بحقوق المسؤول أو الذين يتمتعون بحقوق مستخدم أقل.
التخفيف والحلول البديلة
نصحت مايكروسوفت بأن تعطيل جميع عمليات تثبيت عنصر تحكم ActiveX في إنترنت إكسبلورر يمكن أن يساعد في التخفيف من الهجمات الحالية. ويمكن القيام بذلك عن طريق تكوين نهج المجموعة من خلال تحديث السجل باستخدام محرر نهج المجموعة المحلي.بعد التعطيل، لن يتم تثبيت عناصر تحكم ActiveX الجديدة، وسيستمر تشغيل عناصر تحكم ActiveX السابقة.
How Deep CDR™ Technology Can Protect Against Zero-Day Attacks
Content Disarm and Reconstruction (CDR) can aid in mitigating the risks associated with this vulnerability. Deep CDR™ Technology assumes all files are malicious, then sanitizes and rebuilds the file components to ensure full usability with safe content. The technology can effectively ‘disarms’ all file-based threats, complex and sandbox-aware threats, and threats equipped with malware evasion technology such as fully undetectable malware or obfuscation.
In this case, the Deep CDR™ Technology removes all potential threat objects like the OLEObject and ActiveX from the document file. After sanitization, the document no longer contains the malicious HTML link.
تم فحص التهديدات التي اكتشفها منصّة MetaDefender السحابية وتدعم النتائج إجراءات التعقيم:
بعد التعقيم، تظهر النتائج أنه تمت إزالة OLEObject وأن الملف آمن للفتح:
About Deep CDR™ Technology
Deep CDR™ Technology is a market leader with superior features like multi-level archive processing, the accuracy of file regeneration, and support for 100+ file types. Our technology provides in-depth views of what is being sanitized and how data are sanitized, allowing you to make informed choices and define configurations to meet your use cases. The result? Safe files with 100% of threats eliminated within milliseconds, so your workflow is not interrupted.
To learn more about Deep CDR™ Technology and how OPSWAT can protect your organization, talk to one of our critical infrastructure cybersecurity experts.
مراجع
[1] "ثغرة في تنفيذ التعليمات البرمجية عن بُعد لـ MSHTML من مايكروسوفت". 2021. مركز الاستجابة الأمنية لمايكروسوفت. https://msrc.microsoft.com/upd.....
[2] "مايكروسوفت تصحح تصحيحات مايكروسوفت النشطة لاستغلال MSHTML في يوم الصفر في هجمات الاحتيال الإلكتروني (CVE-2021-40444)". 14 سبتمبر 2021. Help Net Security. https://www. helpnetsecurity.co....
