اكتشف الباحثون ثغرة أمنية خطيرة أخرى في منتجات Microsoft والتي من المحتمل أن تسمح للمهاجمين بتنفيذ التعليمات البرمجية التعسفية. وصنفت ميتري هذا الضعف على أنه CVE -2022-30190، في حين وصفه الباحثون شعريًا إلى حد ما بـ Follina. الشيء الأكثر إزعاجاً هو أنه لا يوجد حل لهذه الثغرة بعد. والأسوأ من ذلك، أن هذه الثغرة الأمنية يتم استغلالها بالفعل بنشاط من قبل مجرمي الإنترنت. أثناء العمل على هذا التحديث، يُنصح جميع مستخدمي Windows والمسؤولون باستخدام حلول مؤقتة.
ما CVE -2022-30190، وما المنتجات التي تؤثر عليها ؟
توجد ثغرة أمنية CVE -2022-30190 في أداة تشخيص دعم Microsoft Windows (MSDT )، والتي لا تبدو كبيرة. لسوء الحظ، وبسبب استخدام هذه الأداة، يمكن استغلال الثغرة الأمنية عبر مستند MS Office الضار.
MSDT هو تطبيق يستخدم لجمع المعلومات التشخيصية تلقائيًا ويقوم بإرسالها إلى Microsoft بمجرد حدوث خطأ ما في Windows. يمكن استدعاء الأداة من التطبيقات الأخرى (مايكروسوفت وورد هو المثال الأكثر شيوعًا) من خلال بروتوكول MSDT URL الخاص. إذا تم استغلال الثغرة الأمنية بنجاح، يمكن للمهاجم تشغيل التعليمات البرمجية التعسفية مع امتيازات التطبيق المسمى MSDT، وفي هذه الحالة، مع حقوق المستخدم الذي فتح الملف الضار.
يمكن استغلال ثغرة أمنية CVE -2022-30190 في جميع أنظمة التشغيل لعائلة Windows، سواء على سطح المكتب أو الخادم.
كيف يستغل المهاجمون CVE -2022-30190
وكدليل على وقوع هجوم، يصف الباحثون الذين اكتشفوه السيناريو التالي. يقوم المهاجمون بإنشاء مستند MS Office ضار وبطريقة ما يوصلونه إلى الضحية. الطريقة الأكثر شيوعًا للقيام بذلك هي إرسال بريد إلكتروني مصحوب بمرفق ضار، مع بعض الحيل الهندسية الاجتماعية الكلاسيكية لإقناع المستلم بفتح الملف. كتابة أشياء مثل “تحقق على وجه السرعة من هذا العقد، والتوقيع صباح الغد” يمكن أن يخدع الضحايا.
يحتوي الملف المصاب على رابط لملف HTML يحتوي على رمز جافا سكريبت الذي ينفذ التعليمات البرمجية الضارة في سطر الأوامر عبر MSDT. نتيجة لهذا الاستغلال الناجح، يمكن للمهاجمين تثبيت البرامج أو عرض البيانات أو تعديلها أو إتلافها، بالإضافة إلى إنشاء حسابات جديدة — أي القيام بأي شيء ممكن بالاستعانة بامتيازات الضحية في النظام.
كيف تحمي نفسك من ذلك
كما ذكرنا أعلاه، لا يوجد حل حتى الآن.في هذه الأثناء، توصي Microsoft بتعطيل بروتوكول MSDT URL.للقيام بذلك، تحتاج إلى تشغيل موجه أوامر مع حقوق المسؤول وتنفيذ سجل الأوامر حذف
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
قبل القيام بذلك، من المستحسن عمل نسخة احتياطية من التسجيل عن طريق تنفيذ
reg export HKEY_CLASSES_ROOT\ms-msdt filename
. بهذه الطريقة يمكنك استعادة التسجيل بسرعة باستخدام هذا الأمر استيراد التسجيل اسم الملف (استيراد اسم الملف) بمجرد انتهاء الحاجة إلى هذا الحل.
reg import filename
.
بالطبع، هذا مجرد إجراء مؤقت، ويجب عليك تثبيت تحديث يحل ثغرة Follina الأمنية بمجرد أن يصبح متاحًا.
تتضمن الطرق الموصوفة لاستغلال هذه الثغرة الأمنية استخدام رسائل البريد الإلكتروني مع المرفقات الضارة وطرق الهندسة الاجتماعية. لذلك، نوصي بأن تكون أكثر حذرًا من المعتاد مع رسائل البريد الإلكتروني من المرسلين غير المعروفين — خاصة مع مستندات مايكروسوفت أوفيس المرفقة. بالنسبة للشركات، من المنطقي أن تقوم بانتظام بزيادة وعي الموظفين لديك حول أكثر الحيل المستخدمة.
بالإضافة إلى ذلك، يجب أن تكون جميع الأجهزة المتصلة بالإنترنت مجهزة بحلول أمان قوية . حتى عندما يستغل شخص ما ثغرة أمنية غير معروفة، يمكن أن تمنع هذه الحلول تشغيل التعليمات البرمجية الضارة على جهاز المستخدم.