🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
الفئة: ذكاء نقاط الضعف
فئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعد
غطاء الكهف: CVE-2023-36884
السيرة الذاتية: 3.0 النتيجة: 8.3
ملخص تنفيذي
- أصدرت شركة مايكروسوفت تقريرًا استشاريًا يكشف عن ثغرة أمنية مستغلة في تنفيذ التعليمات البرمجية عن بُعد لنظامي التشغيل Office وWindows HTML- CVE-2023-36884.
- تخضع الثغرة للاستغلال النشط من قبل مجموعة الجرائم الإلكترونية Storm-0978 التي تم اكتشاف تورطها في أنشطة الجرائم الإلكترونية والتجسس.
- من المعروف أن Storm-0978 تقوم بتطوير وتوزيع الباب الخلفي لـ RomCom على شبكات ضحاياها.
- توصي Microsoft بعمليات التخفيف التالية:
- حظر جميع تطبيقات Office من إنشاء عمليات فرعية
- قم بتعيين ميزة_حظر_تصفح ملفات_البروتوكول_المتقاطعة مفتاح التسجيل لتجنب الاستغلال.
التحليل
بينما لا تزال Microsoft تحقق في السبب الجذري للثغرة الأمنية، تشير الدراسة الأولية إلى ما يلي:
- يتطلب استغلال CVE-2023-36884 من المستخدم فتح مستند ضار.
- يؤدي فتح الملف الضار إلى تنزيل برنامج نصي يبدأ حقن iframe مما يؤدي إلى تنزيل الحمولة الخبيثة النهائية.
- تبدأ الثغرة الأمنية بملفات OOXML المستضافة عن بُعد، بما في ذلك DOCX والتنسيقات المماثلة، والتي يتم تنظيمها داخليًا كأرشيفات ZIP. ضمن هذه الملفات، يلعب ملف تعريف العلاقة المستند إلى XML دورًا مهمًا، مع تركيز اهتمام خاص على علاقة «AfChunk». تُظهر العينات الضارة استغلال هذه العلاقة من خلال تضمين ملفات RTF كوسيلة لتهريب الحمولة. تحتوي ملفات RTF المضمنة هذه على العديد من الكائنات المسؤولة عن تنفيذ التعليمات البرمجية الضارة، مما يؤدي في النهاية إلى تنزيل البرامج الضارة. والجدير بالذكر أنه تم ملاحظة كائنين بارزين داخل ملفات DOCX، وهما كائن OLE1 وكائن CFB، وكلاهما يستخدم لاستغلال عملية ارتباط «URLMoniker».
- بنية ملف OOXML:
- يتم تنظيم ملفات OOXML، مثل DOCX، بطبيعتها كأرشيفات ZIP، مما يوفر وسيلة ملائمة لتعبئة وتخزين مكونات مختلفة من المستند.
- تعريف العلاقة المستندة إلى XML:
- داخل ملف DOCX، يعمل ملف XML كتعريف للعلاقة، مما يسهل إنشاء اتصالات بين عناصر مختلفة من المستند.
- أهمية علاقة «AfChunk»:
- تعتبر علاقة «AfChunk» المحددة في ملف XML ذات أهمية خاصة. تتيح هذه العلاقة تضمين مستند واحد داخل مستند آخر، وبالتالي إنشاء وسيلة لتهريب الحمولة.
- الاستخدام الضار لطريقة «AfChunk»:
- تمت ملاحظة مثيلات العينات الضارة التي تستفيد من طريقة «AFChunk» لتضمين ملفات RTF داخل ملفات DOCX. تعمل هذه الطريقة كوسيلة لتسليم الحمولة الخفية.
- كائنات RTF وحمولة البرامج الضارة:
- يوجد داخل ملفات RTF العديد من الكائنات التي تحتوي على الكود الفعلي المسؤول عن تسهيل تنزيل البرامج الضارة وتنفيذها.
- كائن OLE1 مع مسار UNC:
- الكائن الأولي الذي تمت مواجهته هو كائن OLE1 يحتوي على مسار اصطلاح التسمية العالمي (UNC) المؤدي إلى عنوان IP بعيد. عند التنفيذ، يسترد هذا الكائن ملف.URL، ويمثله المسار «\ ip_address\ to_evil\ payload.url.»
- استغلال عملية الارتباط «URLMoniker»:
- الكائن الثاني، كائن CFB، يستغل عملية الارتباط «URLMoniker»، مما يعزز انتشار النشاط الضار.
التخفيف
- لمنع استغلال الثغرة الأمنية، قم بحظر جميع تطبيقات Office من إنشاء عمليات تابعة في أنظمة أمان نقطة النهاية.
- قم بتعيين مفتاح التسجيل FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION لتجنب الاستغلال.
- لا يلزم إعادة تشغيل نظام التشغيل، ولكن يوصى بإعادة تشغيل التطبيقات التي تمت إضافة مفتاح التسجيل لها في حالة الاستعلام عن القيمة بالفعل وتخزينها مؤقتًا.
- يرجى ملاحظة أنه على الرغم من أن إعدادات التسجيل هذه ستخفف من استغلال هذه المشكلة، إلا أنها قد تؤثر على الوظائف العادية لبعض حالات الاستخدام المتعلقة بهذه التطبيقات. لهذا السبب، نقترح الاختبار. لتعطيل التخفيف، احذف مفتاح التسجيل أو قم بتعيينه على «0".
- الكمبيوتر\ HKEY_LOCAL_MACHINE\ البرامج\ السياسات\ ميكروسوفت\ إنترنت إكسبلورر\ الرئيسي\ التحكم في الميزات\ حظر الميزات_الكبرتوكول__التنقل بين الملفات/
- أضف أسماء التطبيقات التالية إلى مفتاح التسجيل هذا كقيم من النوع REG_DWORD مع البيانات 1"
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
