Microsoft..
أصدرت Microsoft حلولاً بديلة لثغرة أمنية في Office يتم استغلالها بشكل نشط. أصدرت Microsoft يوم الاثنين تحذيرًا من ثغرة أمنية اكتشفت حديثًا في مجموعة إنتاجية Office الخاصة بها .
والتي يمكن استخدامها للحصول على تنفيذ التعليمات البرمجية على أجهزة الكمبيوتر الضعيفة.
الثغرة الأمنية ، المعروفة الآن باسم CVE-2022-30190 .
لديها تصنيف خطورة يبلغ 7.8 من 10 في نظام تقييم الثغرات الأمنية CVSS. تتأثر Office 2013 و Office 2016 و Office 2019 و Office 2021 بالإضافة إلى إصدارات Professional Plus.
قال متحدث باسم Microsoft في بيان أرسل عبر البريد الإلكتروني إلى The Hacker News.
“للمساعدة في حماية العملاء ، أصدرنا CVE-2022-30190 ونقدم المزيد من النصائح هنا”.
تضمن عيب Follina ، الذي تم اكتشافه في أواخر الأسبوع الماضي .
هجومًا في العالم الحقيقي استغل عيبًا في مستند Word مُسلح لتنفيذ كود PowerShell تعسفي عبر “ms-msdt:” مخطط URI. من بيلاروسيا ، تم تحميل العينة على VirusTotal.
ومع ذلك ، تعود أقدم المؤشرات على استغلال الخلل إلى 12 أبريل 2022 ، عندما تمت إضافة عينة ثانية إلى قاعدة بيانات البرامج الضارة. يُعتقد أن هذه الأداة قد استهدفت مستخدمًا روسيًا بمستند Word ضار (“pилаение на интерв.doc”) متنكراً دعوة مقابلة من راديو Sputnik.
“عند الاتصال بـ MSDT عبر بروتوكول URL من برنامج استدعاء مثل Word ، تحدث ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد ،” صرحت Microsoft في تقرير استشاري لـ CVE-2022-30190.
“يمكن للمهاجم الذي يستغل هذه الثغرة الأمنية بنجاح تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات تطبيق المتصل. في السياق الذي تسمح به أذونات المستخدم ، يمكن للمهاجم بعد ذلك تثبيت التطبيقات أو قراءة البيانات أو تغييرها أو إزالتها أو إنشاء حسابات جديدة.”
Crazyman
ويُنسب الفضل إلى Crazyman ، وهو عضو في Shadow Chaser Group. الكشف عن الخطأ في 12 أبريل ، بالتزامن مع اكتشاف هجوم في البرية يستهدف المستخدمين الروس ، مما يدل على أن الشركة كانت على دراية بالفعل بالثغرة الأمنية.
بينما في الواقع. وفقًا للقطات التي شاركها الباحث على Twitter. كما. أغلقت Microsoft التقرير في 21 أبريل 2022 ، قائلة إنه “تم إصلاح المشكلة”. بينما رفضت أيضًا الخلل باعتباره “ليس مشكلة أمنية” لأنه يتطلب مفتاح مرور مقدمًا. بواسطة فني دعم عند بدء تشغيل أداة التشخيص.
بالإضافة إلى نشر قواعد الكشف الخاصة بـ Microsoft Defender for Endpoint. قامت الشركة القائمة على Redmond بتضمين حلول في وثائقها لتعطيل بروتوكول MSDT URL عبر تحديث سجل Windows.
من ناحية أخرى. أوضحت Microsoft أنه “إذا كان برنامج الاتصال أحد تطبيقات Microsoft Office ،” بشكل افتراضي. يفتح Microsoft Office المستندات من الإنترنت في طريقة العرض المحمية أو Application Guard for Office. وكلاهما يحظر الهجوم الحالي. ”
هذه ليست المرة الأولى التي يتم فيها فحص أنظمة بروتوكول Microsoft Office مثل “ms-msdt:” بحثًا عن إساءة محتملة. في وقت سابق من الشهر الماضي ، كشفت شركة الأمن السيبراني الألمانية SySS عن كيفية فتح الملفات مباشرةً باستخدام عناوين URL المنشأة بعناية مثل “ms-excel: ofv | u | https: //192.168.1.10/poc [.] xls.”
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. أصدرت Microsoft حلولاً بديلة لثغرة أمنية في Office يتم استغلالها بشكل نشط.