مايكروسوفت تحذر من هجمات خطيرة تستهدف مستندات أوفيس منها فيروسات فدية
أطلقت ميكروسوفت أجراس الإنذار بشأن هجوم إلكتروني جديد يستهدف بشكل نشط مستخدمي أنظمة ويندوز من خلال استغلال ثغرة أمنية من خلال مستندات الاوفيس الضارة. في تحديث أمني صدر يوم الثلاثاء 8/9/2021 ، وصف عملاق البرمجيات تحقيقه في ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في MSHTML والتي تعمل من خلال مستندات ميكروسوفت اوفيس Microsoft Office المصممة خصيصًا.
قال جيك ويليامز ، الشريك المؤسس والمدير التقني في شركة الاستجابة للحوادث BreachQuest: "MSHTML هو مكون يستخدمه عدد لا يحصى من التطبيقات على نظام ويندوز ". "إذا فتحت يومًا تطبيقًا يبدو أنه يعرف إعدادات الخادم الوكيل" بطريقة سحرية "، فمن المحتمل أنه يستخدم MSHTML بشكل غير مباشر ."
من خلال استغلال هذا الخلل ، يمكن للمهاجم أن يبتكر عنصر تحكم ActiveX ضار يستخدمه مستند اوفيس الذي يستضيف محرك العرض في المتصفح . سيتعين على المهاجم إقناع المستخدم بفتح المستند الضار ، الذي من المحتمل أن يتم إرساله عبر البريد الإلكتروني. يمكن أن يكون المستخدمون الذين لديهم حسابات محدودة على أجهزة الكمبيوتر الخاصة بهم أقل عرضة للخطر من أولئك الذين لديهم امتيازات إدارية كاملة.
يؤثر الاستغلال على جميع الإصدارات الحالية من أنظمة ويندوز ، بما في ذلك ويندوز 7 وويندوز 8.1 وكذلك ويندوز 10 ، بالإضافة إلى ويندوز سيرفر Windows Server 2008 و 2012 و 2016 و 2019 و 2022.
لا يوجد تقدير متاح حتى الآن لهذا الاختراق والاستغلال. صرحت ميكروسوفت أنه بعد الانتهاء من تحقيقها الحالي ، قد توفر تحديثًا أمنيًا من خلال دورة الإصدار الشهرية أو تطرح تحديثًا خارج الدورة. في غضون ذلك ، يقوم برنامج مكافحة الفيروسات المدمج مع الويندوز Microsoft Defender Antivirus و Microsoft Defender for Endpoint باكتشاف هذه الثغرة الأمنية والحماية منها. يجب على مستخدمي أي من المنتجين التأكد من تحديثهما.
أيضا ، يفتح ميكروسوفت اوفيس افتراضيًا المستندات من الإنترنت في طريقة العرض المحمية أو Application Guard for Office ، وكلاهما يمنع الهجوم الحالي. يجب على مستخدمي الاوفيس التأكد من تمكين طريقة العرض المحمية. للقيام بذلك ، انقر فوق القائمة "ملف" في أي تطبيق من تطبيقات الاوفيس وحدد "خيارات". في نافذة الخيارات ، انتقل إلى مركز التوثيق ، وانقر على زر إعدادات مركز التوثيق ، ثم حدد طريقة العرض المحمية Protected View .
بدلاً من التصحيح ، لدى ميكروسوفت حل بديل. كما هو موضح في النصائح الإرشادية للأمان ، استخدم محرر نصوص لإنشاء ملف .REG بالسلاسل التالية :
احفظ الملف بملحق .reg. انقر نقرًا مزدوجًا فوقه لإضافته إلى السجل الحالي.
قال Casey Ellis ، المؤسس والمدير التقني في منصة الأمن السيبراني Bugcrowd : "الخبر السار هو أن هذه الثغرة الأمنية هي من جانب العميل وتتطلب تفاعل المستخدم". "التصحيح سيكون متاحًا قريبًا. للأسف ، هذه نهاية الأخبار السارة."
حذر Ellis من أن تعقيد استغلال الثغرات يبدو منخفضًا جدًا ، مما يعني أنه يمكن للمهاجمين الاستفادة منه بسهولة أكبر. التأثير كبير جدا. وفي شكله المُسلح ، يمكن استخدام الثغرة في أنواع مختلفة من الهجمات ، بما في ذلك برامج الفدية. بالإضافة إلى ذلك ، حتى عندما يتوفر التصحيح ، قد تفشل العديد من المؤسسات في تطبيق هذا التصحيح بسرعة كافية.
وأضاف إليس : "يتمثل التحدي المتسق مع الثغرات الأمنية من جانب العميل مثل هذا في أن هناك الكثير من الأنظمة التي تحتاج إلى تصحيح ، مما يعني أنها تظل متاحة للاستغلال للمهاجمين لبعض الوقت".
مايكروسوفت تحذر من هجمات خطيرة تستهدف مستندات أوفيس تتضمن فيروسات فدية |
مايكروسوفت تحذر من هجمات خطيرة تستهدف مستندات أوفيس تتضمن فيروسات فدية
من خلال استغلال هذا الخلل ، يمكن للمهاجم أن يبتكر عنصر تحكم ActiveX ضار يستخدمه مستند اوفيس الذي يستضيف محرك العرض في المتصفح . سيتعين على المهاجم إقناع المستخدم بفتح المستند الضار ، الذي من المحتمل أن يتم إرساله عبر البريد الإلكتروني. يمكن أن يكون المستخدمون الذين لديهم حسابات محدودة على أجهزة الكمبيوتر الخاصة بهم أقل عرضة للخطر من أولئك الذين لديهم امتيازات إدارية كاملة.
يؤثر الاستغلال على جميع الإصدارات الحالية من أنظمة ويندوز ، بما في ذلك ويندوز 7 وويندوز 8.1 وكذلك ويندوز 10 ، بالإضافة إلى ويندوز سيرفر Windows Server 2008 و 2012 و 2016 و 2019 و 2022.
لا يوجد تقدير متاح حتى الآن لهذا الاختراق والاستغلال. صرحت ميكروسوفت أنه بعد الانتهاء من تحقيقها الحالي ، قد توفر تحديثًا أمنيًا من خلال دورة الإصدار الشهرية أو تطرح تحديثًا خارج الدورة. في غضون ذلك ، يقوم برنامج مكافحة الفيروسات المدمج مع الويندوز Microsoft Defender Antivirus و Microsoft Defender for Endpoint باكتشاف هذه الثغرة الأمنية والحماية منها. يجب على مستخدمي أي من المنتجين التأكد من تحديثهما.
أيضا ، يفتح ميكروسوفت اوفيس افتراضيًا المستندات من الإنترنت في طريقة العرض المحمية أو Application Guard for Office ، وكلاهما يمنع الهجوم الحالي. يجب على مستخدمي الاوفيس التأكد من تمكين طريقة العرض المحمية. للقيام بذلك ، انقر فوق القائمة "ملف" في أي تطبيق من تطبيقات الاوفيس وحدد "خيارات". في نافذة الخيارات ، انتقل إلى مركز التوثيق ، وانقر على زر إعدادات مركز التوثيق ، ثم حدد طريقة العرض المحمية Protected View .
بدلاً من التصحيح ، لدى ميكروسوفت حل بديل. كما هو موضح في النصائح الإرشادية للأمان ، استخدم محرر نصوص لإنشاء ملف .REG بالسلاسل التالية :
الإصدار 5.00 من سجل نظام الويندوز
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
ملحوظة نظراً لعدم اتاحة النسخة بالموقع يمكنك تحميل هذه الأكواد داخل ملف من الرابط التالي
احفظ الملف بملحق .reg. انقر نقرًا مزدوجًا فوقه لإضافته إلى السجل الحالي.
قال Casey Ellis ، المؤسس والمدير التقني في منصة الأمن السيبراني Bugcrowd : "الخبر السار هو أن هذه الثغرة الأمنية هي من جانب العميل وتتطلب تفاعل المستخدم". "التصحيح سيكون متاحًا قريبًا. للأسف ، هذه نهاية الأخبار السارة."
حذر Ellis من أن تعقيد استغلال الثغرات يبدو منخفضًا جدًا ، مما يعني أنه يمكن للمهاجمين الاستفادة منه بسهولة أكبر. التأثير كبير جدا. وفي شكله المُسلح ، يمكن استخدام الثغرة في أنواع مختلفة من الهجمات ، بما في ذلك برامج الفدية. بالإضافة إلى ذلك ، حتى عندما يتوفر التصحيح ، قد تفشل العديد من المؤسسات في تطبيق هذا التصحيح بسرعة كافية.
وأضاف إليس : "يتمثل التحدي المتسق مع الثغرات الأمنية من جانب العميل مثل هذا في أن هناك الكثير من الأنظمة التي تحتاج إلى تصحيح ، مما يعني أنها تظل متاحة للاستغلال للمهاجمين لبعض الوقت".
ليست هناك تعليقات:
يمكنك إضافة الملاحظات او الإستفسار عن محتوي المشاركة او اضافة معلومة جديدة لم يتم التطرق اليها ، يمنع اضافة اية روابط علي سبيل الدعاية