تم اكتشاف ثغرة "Zero Day" في أداة Windows التي كان المتسللون يستغلونها من خلال مستندات Word المسمومة خلال عطلة نهاية الأسبوع.
 |
| Microsoft |
أعلن فريق بحثي مستقل في مجال الأمن السيبراني يُعرف باسم nao_sec في سلسلة من التغريدات أنه اكتشف الثغرة الأمنية في مستند Word ضار تم تحميله إلى Virus Total ، وهو موقع ويب لتحليل البرامج المشبوهة ، من عنوان IP في بيلاروسيا.
الأمنية اسم "Folina" ، أن المستند الخبيث يستخدم ميزة القالب البعيد في Word لاسترداد ملف HTML من خادم ويب بعيد. ثم يستخدم الملف نظام Microsoft ms-msdt MSProtocol URI لتحميل المزيد من التعليمات البرمجية على نظام مستهدف ، وكذلك تنفيذ بعض أوامر Powershell.
ومما زاد الطين بلة ، أنه ليس من الضروري فتح المستند الضار لتنفيذ حمولته. سيتم تشغيله إذا تم عرض المستند في علامة تبويب المعاينة في Windows Explorer.
تسرد Microsoft 41 إصدارًا مختلفًا من المنتجات المتأثرة بـ Folina ، من Windows 7 إلى Windows 11 ، ومن Server 2008 إلى Server 2022. ومن المعروف والمثبت تأثره هو Office و Office 2016 و Office 2021 و Office 2022 ، بغض النظر عن إصدار Windows. يعمل على.
مقارنة Log4Shell
قال Casey Ellis ، كبير التكنولوجيا ومؤسس Bugcrowd ، التي تدير منصة مكافأة الأخطاء التعهيد الجماعي ، لـ TechNewsWorld: "يبدو أن Folina قابلة للاستغلال بشكل تافه وقوية للغاية ، نظرًا لقدرتها على تجاوز Windows Defender" .
مع ذلك ، قلل روجر غرايمز من خطورة فولينا ، المبشر الدفاعي القائم على البيانات في KnowBe4 ، وهو مزود تدريب للتوعية الأمنية في كليرووتر بولاية فلوريدا. تم تنزيله أو النقر عليه "، كما أخبر TechNewsWorld.
وتابع "هذا ليس هذا". سيكون لدى Microsoft تصحيح تم إنشاؤه في غضون أيام قليلة أو أقل ، وإذا لم يقم المستخدمون بتعطيل التصحيح التلقائي الافتراضي في Microsoft Office - أو إذا كانوا يستخدمون Office 365 - فسيتم تطبيق التصحيح تلقائيًا بسرعة. هذا الاستغلال شيء يجب القلق بشأنه ، لكنه لن يسيطر على العالم ".
Dirk Schrader ، نائب الرئيس العالمي لشركة New Net Technologies ، وهو الآن جزء من Netwrix ، مزود برمجيات أمن تكنولوجيا المعلومات والامتثال ، في نابولي ، فلوريدا.
كان Log4Shell يدور حول طريقة غير خاضعة للرقابة لتنفيذ وظيفة في وظيفة مقترنة بالقدرة على استدعاء موارد خارجية ، كما أوضح. "يوم الصفر هذا ، الذي أطلق عليه في البداية اسم Folina ، يعمل بطريقة مماثلة ،" قال لـ TechNewsWorld.
وقال: "من المحتمل ألا تكتشف أدوات الأمان المضمنة في Windows هذا النشاط ولا تغطي معايير التقوية القياسية ذلك". "الآلية الدفاعية المدمجة مثل Defender أو القيود الشائعة لاستخدام وحدات الماكرو لن تمنع هذا الهجوم أيضًا."
وأضاف: "يبدو أن الثغرة قد ظهرت في البرية لمدة شهر تقريبًا الآن ، مع إجراء تعديلات مختلفة على ما يجب تنفيذه على النظام المستهدف".
Microsoft Workaround
اعترفت Microsoft رسميًا بالثغرة الأمنية يوم الإثنين (CVE-2022-30190) ، بالإضافة إلى إصدار حلول بديلة للتخفيف من الخلل.
"توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد عندما يتم استدعاء [أداة تشخيص دعم Microsoft] باستخدام بروتوكول URL من تطبيق استدعاء مثل Word" ، كما أوضح في مدونة الشركة.
وتابع: "يمكن للمهاجم الذي يستغل هذه الثغرة الأمنية بنجاح تشغيل تعليمات برمجية عشوائية بامتيازات تطبيق الاستدعاء". "يمكن للمهاجم بعد ذلك تثبيت البرامج أو عرض البيانات أو تغييرها أو حذفها أو إنشاء حسابات جديدة في السياق الذي تسمح به حقوق المستخدم."
كحل بديل ، أوصت Microsoft بتعطيل بروتوكول URL في أداة MSDT. سيؤدي ذلك إلى منع إطلاق مستكشفات الأخطاء ومصلحاتها كروابط ؛ ومع ذلك ، لا يزال من الممكن الوصول إلى مستكشفات الأخطاء ومصلحاتها باستخدام تطبيق Get Help وفي إعدادات النظام.
أشار كريس كليمنتس ، نائب رئيس هندسة الحلول في شركة Cerberus Sentinel ، وهي شركة استشارات في مجال الأمن السيبراني واختبار الاختراق ، في سكوتسديل بولاية أريزونا ، إن الحل لا ينبغي أن يكون مصدر إزعاج كبير للمستخدمين.
http: // إلى فتح المتصفح الافتراضي تلقائيًا". "روابط msdt: / هي فقط مرتبطة مسبقًا بشكل افتراضي بأداة الدعم. يزيل التخفيف هذا الفتح التلقائي مع الاقتران ".
يعد دعم Tix Times
وافق Ray Steen ، CSO مع MainSpring ، وهو مزود خدمات مدارة لتكنولوجيا المعلومات في فريدريك بولاية ماريلاند ، على أن الحل البديل سيكون له تأثير ضئيل على المستخدمين. قال لـ TechNewsWorld: "MSDT ليست أداة حل مشكلات عامة أو أداة دعم". "يتم استخدامه فقط لمشاركة السجلات مع فنيي Microsoft أثناء جلسات الدعم."
وقال "يمكن للفنيين الحصول على نفس المعلومات بوسائل أخرى ، بما في ذلك أداة تقرير تشخيص النظام".
بالإضافة إلى ذلك ، أشار إلى أن "تعطيل بروتوكول URL يمنع فقط تشغيل أداة MSDT من خلال ارتباط. سيظل بإمكان المستخدمين والفنيين عن بُعد فتحه يدويًا ".
قد يكون هناك عيب واحد محتمل للمنظمات التي تغلق بروتوكول URL ، ومع ذلك ، أشار كارميت يادين ، الرئيس التنفيذي ومؤسس DeviceTotal ، وهي شركة لإدارة المخاطر في تل أبيب ، إسرائيل. قال لـ TechNewsWorld: "ستشهد المنظمات زيادة في أوقات تذاكر مكاتب الدعم لأن MSDT يساعد تقليديًا في تشخيص مشكلات الأداء ، وليس فقط الحوادث الأمنية".
أكد هاريش أكالي ، الرئيس التنفيذي للتكنولوجيا في ColorTokens ، المزود لحلول الأمن السيبراني بدون ثقة ، في سان خوسيه ، كاليفورنيا أن Folina تؤكد على أهمية بنية وحلول عدم الثقة القائمة على هذا المبدأ.
قال لـ TechNewsWorld: "مثل هذا النهج لن يسمح إلا باتصالات وعمليات شبكة شرعية ومعتمدة على جهاز كمبيوتر". "برامج الثقة الصفرية ستمنع أيضًا الحركة الجانبية ، وهو تكتيك رئيسي يستخدمه المتسللون للوصول إلى البيانات القيمة بمجرد وصولهم إلى أحد أصول تكنولوجيا المعلومات المعرضة للخطر."
وأشار شريدر إلى أنه في الأسابيع المقبلة ، من المرجح أن يبحث المهاجمون عن طرق لتسليح الثغرة الأمنية. وقال: "يمكن دمج يوم الصفر في حملة التصيد بالرمح مع متجهات الهجوم المكتشفة مؤخرًا وتقنيات تصعيد الامتياز للارتقاء من سياق المستخدم الحالي".
ونصح "مع الأخذ في الاعتبار إمكانية هذا التكتيك المشترك ، يجب على محترفي تكنولوجيا المعلومات التأكد من أن الأنظمة تخضع للمراقبة عن كثب لاكتشاف نشاط الاختراق".
وتابع: "علاوة على ذلك ، فإن أوجه التشابه مع Log4shell ، التي تصدرت عناوين الصحف في ديسمبر 2021 ، مدهشة. كما هو الحال ، تتعلق هذه الثغرة الأمنية باستخدام قدرة التطبيق على الاتصال عن بعد بمورد باستخدام مخطط URI ، وعدم وجود ضمانات في المكان ".
وأضاف: "يمكننا أن نتوقع من مجموعات APT والمحتالين الإلكترونيين أن يبحثوا على وجه التحديد عن المزيد من هؤلاء حيث يبدو أنهم يقدمون طريقة سهلة للدخول".
