الثلاثاء، 31 مايو 2022

برامج ضارة جديدة تهدد أجهزة الكمبيوتر التي تعمل بنظام Windows

تم اكتشاف عيب جديد في Word للتو: من خلال فتح مستند بسيط باستخدام تطبيق Office، من الممكن تنفيذ أوامر PowerShell عبر أداة تشخيص دعم Microsoft (MSDT) . يُطلق على هذا العيب الأمني اسم Follina ، ويهاجم تطبيقات Microsoft Office مباشرةً ، ولكنه لا يتطلب أي حقوق إدارية معينة على الجهاز. أسوأ جزء هو أنه لا يتطلب تشغيل أي وحدات ماكرو ويظل غير قابل للكشف بواسطة مضاد فيروسات مثل Windows Defender.

وبحسب ما ورد تم اكتشاف الخلل وإبلاغ Microsoft به في أبريل 2022. ومع ذلك ، فقد رفضه عملاق ريدموند ، بحجة أنه ليس مشكلة أمنية وأن مطوريها لم يتمكنوا من تكرار هذا العمل الفذ. ومع ذلك، تم تحليل الثغرة الأمنية من قبل العديد من خبراء الأمن، الذين تمكنوا من استغلالها في عدة إصدارات من Office . وبالتالي ، فإن إصدارات Office 2013 و 2016 و Office Pro Plus و 2021 هي التي تتأثر.

تم العثور على مستند Word ضار، والذي يستخدم رابطًا خارجيًا من Word لتحميل رمز HTML، ثم يقوم بتشغيل رمز PowerShell باستخدام أداة MSDT (أداة تشخيص دعم Microsoft). يوضح الباحث الأمني ​​، كيفين بومونت ، في مدونته أن مجموعة الأوامر تطلق MSDT بغض النظر عن أي شيء، حتى عندما يتم تعطيل تنفيذ الماكرو في Word.

وفقًا للباحثين، سيتمكن المهاجم من استغلال هذا الخلل لاستعادة البيانات الموجودة على كمبيوتر الضحية، بما في ذلك تجزئة كلمات المرور. على الرغم من أن Word ينبه المستخدم إلى محاولة تنفيذ تعليمات برمجية ضارة، إلا أنه يمكن التحايل على المشكلة بسهولة عن طريق تغيير امتداد الملف إلى RTF . لذلك ، من الممكن تنفيذ التعليمات البرمجية الضارة دون أن يقوم المستخدم بفتح الملف باستخدام تطبيق Microsoft office، بشرط أن يكون قد قام بتنشيط وظيفة معاينة Explorer.

تزداد صعوبة اكتشاف مثل هذا الخلل حيث يتم تحميل الشفرة الخبيثة عن بُعد. لا يتضمن مستند Word نفسه أي برامج ضارة ، لذلك لا يمكن تصنيفها على أنها تهديد. ينصح باحثون من موقع Huntress بتمكين ميزة "منع جميع تطبيقات Office من إنشاء عمليات فرعية" ، كما هو موضح على موقع Microsoft . يوضح باحث آخر أنه يكفي أيضًا إزالة اقتران الملف لـ MS-MSDT ، بحيث لا يقوم Microsoft Office بتشغيل هذه الأداة بمفرده.



ليست هناك تعليقات:

إرسال تعليق