مايكروسوفت تحذر من هجوم يستخدم ملفات أوفيس

حذرت شركة مايكروسوفت من أن المهاجمين يستغلون بنشاط ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد باستخدام ملفات Office 365 و Office 2019 الضارة عبر ويندوز 10.

ويمكن الخلل في MSHTML، محرك عرض المتصفح الذي تستخدمه أيضًا مستندات أوفيس.

وتؤثر الثغرة الأمنية المعروفة باسم CVE-2021-40444 في خوادم ويندوز من الإصدار Windows Server 2008 وحتى Windows Server 2019 و Windows 8.1 إلى ويندوز 10 ولها مستوى خطورة يبلغ 8.8 من الحد الأقصى 10.

وتدرك عملاقة البرمجيات الهجمات المستهدفة التي تحاول استغلال الثغرة الأمنية من خلال إرسال مستندات أوفيس المعدة خصيصًا للضحايا المحتملين.

وقالت الشركة: يمكن للمهاجم أن يصنع عنصر تحكم ActiveX ضارًا ليتم استخدامه بواسطة مستند أوفيس الذي يستضيف محرك عرض المستعرض. ويضطر المهاجم بعد ذلك إلى إقناع المستخدم بفتح المستند الضار.

ومع ذلك، يتم إحباط الهجوم إذا كان أوفيس يعمل بالتكوين الافتراضي، حيث يتم فتح المستندات من الويب في وضع Protected View أو Application Guard لـ Office 365.

ويعتبر وضع Protected View بمثابة وضع للقراءة فقط يتم خلاله تعطيل معظم وظائف التحرير. بينما يقوم Application Guard بعزل المستندات غير الموثوق بها، ويمنعها من الوصول إلى موارد الشركة أو الإنترانت أو الملفات الأخرى الموجودة على النظام.

وتستفيد الأنظمة التي تحتوي على برنامج مكافحة الفيروسات Defender من مايكروسوفت و Defender for Endpoint النشط (الإصدار 1.349.22.0 وما فوق) من الحماية ضد محاولات استغلال CVE-2021-40444.

وتعرض منصة أمان المؤسسات من الشركة تنبيهات حول هذا الهجوم باسم “تنفيذ ملف Cpl المشبوه”.

وينسب الفضل إلى الباحثين من عدة شركات للأمن السيبراني في العثور على الثغرة والإبلاغ عنها: هايفي لي من EXPMON ودانيش كيزاككينان وبريس عبده وجينوي جيانغ من Mandiant وريك كول من Microsoft Security Intelligence.

اقرأ أيضًا: كيفية تشغيل ويندوز 11 عبر متصفح الويب

مايكروسوفت تحذر من هجوم يستخدم ملفات أوفيس

قالت EXPMON (أداة مراقبة الاستغلال) في تغريدة إنها اكتشفت الثغرة الأمنية بعد اكتشاف هجوم معقد للغاية يستهدف مستخدمي أوفيس.

وأعاد باحثو EXPMON إنتاج الهجوم عبر أحدث إصدار من Office 2019 و Office 365 عبر نظام التشغيل ويندوز 10.

واستخدم المهاجمون ملف DOCX، وعند فتحه، حمل المستند محرك إنترنت إكسبلورار لعرض صفحة ويب بعيدة من جهة التهديد.

ويتم بعد ذلك تنزيل البرامج الضارة باستخدام عنصر تحكم ActiveX محدد في صفحة الويب. كما يتم تنفيذ التهديد باستخدام خدعة تسمى تنفيذ ملف Cpl، المشار إليها في إرشادات مايكروسوفت.

ونظرًا لعدم توفر تحديث أمني في الوقت الحالي. قدمت الشركة الحل البديل التالي: تعطيل تثبيت كافة عناصر تحكم ActiveX في إنترنت إكسبلورار.

ويضمن تحديث سجل ويندوز جعل ActiveX غير نشط لجميع المواقع، بينما تستمر عناصر تحكم ActiveX المتوفرة في العمل.

اقرأ أيضًا: مايكروسوفت تيمز تحصل على تحسينات للعمل عن بعد