فيديو: PoC: Explotando Zero Day de Word CVE-2017-0199 Handler HTA (سبتمبر 2024)
كشفت Microsoft عن ثغرة أمنية حرجة في اليوم صفر في كيفية معالجة الإصدارات القديمة من Microsoft Windows و Office لتنسيق صورة TIFF هذا الأسبوع. على الرغم من أن الخلل يتم استغلاله بنشاط في البرية ، إلا أن الشركة قالت إن التصحيح لن يكون جاهزًا لإصدار Patch الثلاثاء الأسبوع المقبل.
قالت مايكروسوفت إن الخلل (CVE-2013-3906) يسمح للمهاجمين بتنفيذ التعليمات البرمجية عن بعد على الجهاز المستهدف عن طريق خداع المستخدمين لفتح الملفات بصور TIFF المصممة خصيصا لذلك. عندما يفتح المستخدم ملف الهجوم ، يكتسب المهاجم نفس الحقوق والامتيازات التي يتمتع بها هذا المستخدم. هذا يعني أنه إذا كان لدى المستخدم حساب مسؤول ، فيمكن للمهاجم التحكم الكامل في الجهاز. إذا لم يكن لدى المستخدم امتيازات المسؤول ، فيمكن للمهاجم أن يتسبب في ضرر محدود فقط.
حدد مختبر الاختبار AV-TEST ما لا يقل عن ثمانية مستندات DOCX مضمنة مع هذه الصور الضارة المستخدمة حاليًا في الهجمات.
البرامج المتأثرة
توجد ثغرة أمنية في جميع إصدارات Lync Communicator و Windows Vista و Windows Server 2008 وبعض إصدارات Microsoft Office. جميع عمليات تثبيت Office 2003 و 2007 معرضة للخطر ، بغض النظر عن نظام التشغيل الذي تم تثبيت المجموعة عليه. تتأثر Office 2010 ، فقط إذا تم تثبيته على نظام التشغيل Windows XP أو Windows Server 2008 ، حسبما ذكرت Microsoft. يبدو أن Office 2007 هو الوحيد الذي يتعرض حاليًا لهجوم نشط ، وفقًا للاستشارة.
وقال أليكس واتسون ، مدير أبحاث الأمن في Websense: "ما يصل إلى 37 في المائة من مستخدمي الأعمال في Microsoft Office عرضة لهذا الاستغلال في يوم الصفر".
يعد هذا اليوم الأخير من الأيام مثالاً جيدًا على كيفية تعرض الثغرات الأمنية في الإصدارات القديمة من البرامج إلى تعريض المؤسسات لهجمات خطيرة. يجب ألا يظل المستخدمون يستخدمون Office 2003 و Office 2007 و Windows XP و Windows Server 2003 في المقام الأول لأنهم قديمون للغاية. وقال تايلر ريجولي ، المدير الفني للبحث والتطوير الأمني في تريبواير "إذا قمت بإزالة هذا البرنامج ، فلن يكون هذا اليوم متاحًا". بالنظر إلى عمر هذه التطبيقات ، ينبغي أن تكون المنظمات والمستخدمون قد تحديثوا الآن.
الهجمات في البرية
في حين أن هناك هجمات في البرية ، من المهم أن نتذكر أنه حتى الآن ، ركزت معظم الهجمات على الشرق الأوسط وآسيا. قالت Microsoft في الأصل إن هناك "هجمات مستهدفة تحاول استغلال هذه الثغرة الأمنية" ، وقد حدد باحثو الأمن من AlienVault و FireEye و Symantec عدة مجموعات مهاجمة تستخدم بالفعل الثغرة الأمنية لزيادة حملاتهم.
وقالت FireEye في مدونتها إن المجموعة التي تقف وراء عملية Hangover ، وهي حملة تركز على التجسس تم تحديدها في شهر مايو ، تستغل هذا الخطأ لتعزيز أنشطتها في مجال جمع المعلومات. وقال خايمي بلاسكو ، مدير شركة AlienVault Labs ، إن هذا الاستغلال يستخدم لاستهداف جهاز المخابرات والجيش الباكستانيين. تستخدم مجموعة مهاجمة أخرى ، أطلق عليها Arx بواسطة باحثين في FireEye ، الاستغلال لتوزيع طروادة Citadel المصرفية.
تثبيت الحل البديل
على الرغم من أن التصحيح لن يكون جاهزًا بحلول الأسبوع القادم ، فقد أصدرت Microsoft FixIt ، وهو حل مؤقت ، لحل المشكلة. إذا كان لديك برنامج ضعيف ، فيجب عليك تطبيق FixIt على الفور. لاحظ FixIt's كيف يتم الوصول إلى صور TIFF ، والتي قد لا تكون خيارًا لبعض المستخدمين والمؤسسات ، كما أشار Tripwire في Tripwire.
حذر Reguly من أن مطوري الويب ومصممي الجرافيك ومحترفي التسويق الذين يعملون بتنسيق TIFF قد يجدون قدرتهم على القيام بوظائفهم المعطلة بواسطة FixIt هذا. قد يواجه اختصاصيو الأمن صعوبة في تبرير ضرورة نشر FixIt في المؤسسات التي تعمل كثيرًا مع صور عالية الجودة.
وقال ريجولي "إنه يضع الناس في موقف صعب يتمثل في منع ثغرة جديدة أو القيام بعملهم".
يمكن للمؤسسات أيضًا تثبيت مجموعة أدوات أمان Microsoft EMET (مجموعة أدوات تجربة تخفيف محسّنة) لأنه يحول دون تنفيذ الهجوم ، كما كتبته إيليا فلوريو من مركز الاستجابة الأمنية التابع لـ Microsoft ؛ وتم نشره في منشور بالمدونة.
قامت العديد من مجموعات الحماية من الفيروسات والأمان بالفعل بتحديث تواقيعها للكشف عن الملفات الضارة التي تستغل هذه الثغرة الأمنية ، لذلك يجب عليك أيضًا التأكد من تحديث برنامج الأمان الخاص بك. كالمعتاد ، توخي الحذر الشديد عند فتح الملفات التي لم تطلبها على وجه التحديد ، أو النقر على الروابط إذا كنت لا تعرف المصدر.
