أكدت مايكروسوفت في 7 سبتمبر 2021 حدوث ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) في نظام التشغيل Windows 10. ويمكن لهذه الثغرة، المصنفة على أنها CVE-2021-40444 [1]، أن تمكّن مجرمي الإنترنت من التحكم عن بُعد في نظام مخترق وإنشاء هجمات فورية في البرية.
يكمن الخلل في MSHTML، وهو محرك عرض المتصفح في Internet Explorer. يُستخدم المحركأيضًا في مستندات Microsoft Office. ومن المعروف أن الثغرة CVE-2021-40444 تُستخدم حاليًا لإيصال حمولات Cobalt Strike - وهو إطار عمل لمحاكاة التهديدات التي يشيع استغلالها.
وقد حدد أحد الباحثين في شركة EXPMON هذه الثغرة لأول مرة في تغريدة على تويتر، قائلاً: "على مستخدمي Office توخي الحذر الشديد بشأن ملفات Office". وقد أبلغوا مايكروسوفت بالحادثة يوم الأحد 5 سبتمبر. كما أصدرت مايكروسوفت أيضًا نصيحة أمنية بعد ذلك بوقت قصير، مقترحةً حلولاً بديلة أثناء قيام الشركة بالتحقيق. في 14 سبتمبر، أصلحت مايكروسوفت الثغرة الأمنية [2].
كيف يستغل المهاجمون CVE-2021-40444
قد يقوم مجرمو الإنترنت بصياغة عنصر تحكم ActiveX خبيث داخل مستند Microsoft Office (.docx). يعمل هذا المستند كمضيف لمحرك عرض متصفح MSTHML وكائن OLEObject الذي يوجه إلى صفحة ويب مبنية.
وسيتعين على المهاجم بعد ذلك خداع هدفه لفتح هذا المستند. عند الفتح، سيستخدم محرك MSTHML عنصر تحكم ActiveX لتشغيل ملف HTML مع نصوص برمجية مشوشة، يلي ذلك تنزيل حمولات البرمجيات الخبيثة أو عناصر التحكم في الوصول عن بُعد.
وأشارت مايكروسوفت إلى أن المستخدمين الذين يتمتعون بحقوق المسؤول أكثر عرضة لمثل هذه الهجمات من أولئك الذين لا يتمتعون بحقوق المسؤول أو الذين يتمتعون بحقوق مستخدم أقل.
التخفيف والحلول البديلة
نصحت مايكروسوفت بأن تعطيل جميع عمليات تثبيت عنصر تحكم ActiveX في إنترنت إكسبلورر يمكن أن يساعد في التخفيف من الهجمات الحالية. ويمكن القيام بذلك عن طريق تكوين نهج المجموعة من خلال تحديث السجل باستخدام محرر نهج المجموعة المحلي.بعد التعطيل، لن يتم تثبيت عناصر تحكم ActiveX الجديدة، وسيستمر تشغيل عناصر تحكم ActiveX السابقة.
كيف يمكن Deep CDR أن يحمي من هجمات فورية
يمكن أن يساعد نزع سلاح المحتوى وإعادة بنائه (CDR) في التخفيف من المخاطر المرتبطة بهذه الثغرة. Deep CDR تفترض أن جميع الملفات خبيثة، ثم تقوم بتعقيم وإعادة بناء مكونات الملفات لضمان إمكانية الاستخدام الكامل بمحتوى آمن. يمكن لهذه التقنية "تعطيل" جميع التهديدات المستندة إلى الملفات، والتهديدات المعقدة والمدركة لصندوق الرمل، والتهديدات المجهزة بتقنية التهرب من البرمجيات الخبيثة مثل البرمجيات الخبيثة غير القابلة للكشف أو التشويش.
في هذه الحالة، تزيل تقنية Deep CDR جميع كائنات التهديد المحتملة مثل OLEObject و ActiveX من ملف المستند. بعد التعقيم، لم يعد المستند يحتوي على رابط HTML الخبيث.
تم فحص التهديدات التي اكتشفها MetaDefender Cloud وتدعم النتائج إجراءات التعقيم:
بعد التعقيم، تظهر النتائج أنه تمت إزالة OLEObject وأن الملف آمن للفتح:
نبذة عن Deep CDR
تُعد تقنيةDeep CDR رائدة في السوق مع ميزات فائقة مثل معالجة الأرشيف متعدد المستويات، ودقة إعادة إنشاء الملفات، ودعم أكثر من 100 نوع من الملفات. توفر تقنيتنا وجهات نظر متعمقة حول ما يتم تعقيمه وكيفية تعقيم البيانات، مما يتيح لك اتخاذ خيارات مستنيرة وتحديد التكوينات لتلبية حالات الاستخدام الخاصة بك. والنتيجة؟ ملفات آمنة مع إزالة 100٪ من التهديدات في غضون أجزاء من الثانية، بحيث لا ينقطع سير عملك.
لمعرفة المزيد عن Deep CDR وكيف يمكن لـ OPSWAT حماية مؤسستك، تحدث إلى أحد خبراء الأمن السيبراني للبنية التحتية الحيوية لدينا.
مراجع
[1] "ثغرة في تنفيذ التعليمات البرمجية عن بُعد لـ MSHTML من مايكروسوفت". 2021. مركز الاستجابة الأمنية لمايكروسوفت. https://msrc.microsoft.com/upd.....
[2] "مايكروسوفت تصحح تصحيحات مايكروسوفت النشطة لاستغلال MSHTML في يوم الصفر في هجمات الاحتيال الإلكتروني (CVE-2021-40444)". 14 سبتمبر 2021. Help Net Security. https://www. helpnetsecurity.co....
