الوجبات الجاهزة الرئيسية
- تمت ملاحظة هجوم جديد بنقرة صفرية على نظام التشغيل Windows يمكنه اختراق الأجهزة دون أي إجراء من المستخدم في البرية.
- اعترفت Microsoft بالمشكلة ووضعت خطوات علاجية ، لكن الخطأ ليس له تصحيح رسمي حتى الآن.
- يرى باحثو الأمن أن الخطأ يتم استغلاله بشكل نشط ويتوقعون المزيد من الهجمات في المستقبل القريب.
وجد المتسللون طريقة لاقتحام جهاز كمبيوتر يعمل بنظام Windows ببساطة عن طريق إرسال ملف ضار مصنوع خصيصًا.
يطلق عليها اسم Follina ، الخطأ خطير للغاية لأنه قد يسمح للمتسللين بالسيطرة الكاملة على أي نظام Windows فقط عن طريق إرسال مستند Microsoft Office معدل. في بعض الحالات ، لا يضطر الأشخاص حتى إلى فتح الملف ، لأن معاينة ملف Windows كافية لتشغيل الأجزاء السيئة. والجدير بالذكر أن Microsoft أقرت بوجود الخطأ ولكنها لم تصدر بعد إصلاحًا رسميًا لإبطالها.
كتب الدكتور يوهانس أولريش ، عميد الأبحاث في معهد تكنولوجيا SANS ، في النشرة الأسبوعية لـ SANS: "يجب أن تظل هذه الثغرة الأمنية على رأس قائمة الأشياء التي يجب القلق بشأنها". "بينما يقوم بائعو برامج مكافحة البرامج الضارة بتحديث التوقيعات بسرعة ، فإنهم غير كافيين للحماية من مجموعة كبيرة من عمليات الاستغلال التي قد تستفيد من هذه الثغرة الأمنية."
معاينة للتسوية
تم اكتشاف التهديد لأول مرة من قبل باحثين أمنيين يابانيين في نهاية شهر مايو من خلال مستند Word ضار.
كشف الباحث الأمني Kevin Beaumont عن الثغرة الأمنية واكتشف أن ملف.doc قام بتحميل جزء زائف من كود HTML ، والذي يستدعي بعد ذلك أداة تشخيص Microsoft لتنفيذ كود PowerShell ، والذي بدوره يقوم بتشغيل الحمولة الخبيثة.
يستخدم Windows أداة تشخيص Microsoft (MSDT) لجمع معلومات التشخيص وإرسالها عندما يحدث خطأ ما في نظام التشغيل. تستدعي التطبيقات الأداة باستخدام بروتوكول MSDT URL الخاص (ms-msdt: //) ، والذي تهدف Follina إلى استغلاله.
كتب دعاة الأمن على تويتر: "هذا الاستغلال هو جبل من الثغرات مكدسة فوق بعضها البعض. ومع ذلك ، فمن السهل للأسف إعادة الإنشاء ولا يمكن اكتشافها بواسطة مكافحة الفيروسات".
في مناقشة بالبريد الإلكتروني مع Lifewire ، أوضح نيكولاس سيمريكيك ، مهندس الأمن السيبراني في Immersive Labs ، أن Follina فريدة من نوعها. لا يأخذ الأمر الطريق المعتاد المتمثل في إساءة استخدام وحدات الماكرو في المكتب ، وهذا هو السبب في أنه يمكن أن يتسبب في إحداث فوضى للأشخاص الذين قاموا بتعطيل وحدات الماكرو.
أشار Cemerikic إلى أنه "لسنوات عديدة ، كان التصيد الاحتيالي عبر البريد الإلكتروني ، جنبًا إلى جنب مع مستندات Word الضارة ، الطريقة الأكثر فعالية للوصول إلى نظام المستخدم". "زادت المخاطر الآن بسبب هجوم Follina ، حيث يحتاج الضحية فقط إلى فتح مستند ، أو في بعض الحالات ، عرض معاينة للمستند عبر جزء معاينة Windows ، مع إزالة الحاجة إلى الموافقة على تحذيرات الأمان."
سارعت Microsoft في وضع بعض خطوات العلاج للتخفيف من المخاطر التي تشكلها Follina. كتب جون هاموند ، باحث أمني كبير في Huntress ، في مدونة الشركة حول هذا الخطأ ، "إن وسائل التخفيف المتوفرة هي حلول غير مرتبة حيث لم يكن لدى الصناعة الوقت لدراسة تأثيرها". "إنها تتضمن تغيير الإعدادات في سجل Windows ، وهو عمل جاد لأن إدخال سجل غير صحيح قد يؤدي إلى تعطيل جهازك."
يجب أن تظل هذه الثغرة الأمنية على رأس قائمة الأشياء التي تدعو للقلق.
بينما لم تصدر Microsoft تصحيحًا رسميًا لإصلاح المشكلة ، هناك تصحيح غير رسمي من مشروع 0patch.
بالحديث عن الإصلاح ، كتب ميتجا كولسيك ، المؤسس المشارك لمشروع 0patch ، أنه على الرغم من أنه سيكون من السهل تعطيل أداة تشخيص Microsoft تمامًا أو تدوين خطوات الإصلاح الخاصة بـ Microsoft في تصحيح ، فقد ذهب المشروع من أجل نهج مختلف لأن كلا الأسلوبين سيؤثران سلبًا على أداء أداة التشخيص.
لقد بدأت للتو
بدأ بائعو الأمن السيبراني بالفعل في رؤية الخلل يتم استغلاله بنشاط ضد بعض الأهداف البارزة في الولايات المتحدة وأوروبا.
على الرغم من أن جميع عمليات الاستغلال الحالية في البرية يبدو أنها تستخدم مستندات Office ، إلا أنه يمكن إساءة استخدام Follina من خلال ناقلات هجوم أخرى ، كما أوضح سيمريكيك.
شرح سبب اعتقاده أن Follina لن تختفي في أي وقت قريب ، قال Cemerikic أنه ، كما هو الحال مع أي استغلال أو نقطة ضعف رئيسية ، يبدأ المتسللون في النهاية في تطوير وإصدار أدوات للمساعدة في جهود الاستغلال.هذا يحول بشكل أساسي هذه الثغرات المعقدة نوعًا ما إلى هجمات التأشير والنقر.
قال سيمريكيتش"لم يعد المهاجمون بحاجة إلى فهم كيفية عمل الهجوم أو ربط سلسلة من نقاط الضعف معًا ، كل ما يحتاجون إليه هو النقر فوق" تشغيل "على أداة".
جادل بأن هذا هو بالضبط ما شهده مجتمع الأمن السيبراني خلال الأسبوع الماضي ، مع وضع ثغرة خطيرة للغاية في أيدي مهاجمين وأطفال نصوص أقل قدرة أو غير متعلمين.
"مع تقدم الوقت ، كلما أصبحت هذه الأدوات متاحة ، سيتم استخدام المزيد من Follina كطريقة لتسليم البرامج الضارة لاختراق الأجهزة المستهدفة ،" حذر Cemerikic ، وحث الأشخاص على تصحيح أجهزة Windows الخاصة بهم دون تأخير.
