تم استغلال برنامج مايكروسوفت أوفيس زيرو داي CVE-2023-36884 في البرية
أصدرت شركة Microsoft تقريرًا استشاريًا يكشف عن ثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد لـ Office و Windows HTML تم استغلالها في البرية (CVE-2023-36884).
Updated on
August 19, 2025
Published on
July 25, 2023
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.
فئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعد
غطاء الكهف: CVE-2023-36884
السيرة الذاتية: 3.0 النتيجة: 8.3
ملخص تنفيذي
أصدرت شركة مايكروسوفت تقريرًا استشاريًا يكشف عن ثغرة أمنية مستغلة في تنفيذ التعليمات البرمجية عن بُعد لنظامي التشغيل Office وWindows HTML- CVE-2023-36884.
تخضع الثغرة للاستغلال النشط من قبل مجموعة الجرائم الإلكترونية Storm-0978 التي تم اكتشاف تورطها في أنشطة الجرائم الإلكترونية والتجسس.
من المعروف أن Storm-0978 تقوم بتطوير وتوزيع الباب الخلفي لـ RomCom على شبكات ضحاياها.
توصي Microsoft بعمليات التخفيف التالية: - حظر جميع تطبيقات Office من إنشاء عمليات فرعية - قم بتعيين ميزة_حظر_تصفح ملفات_البروتوكول_المتقاطعة مفتاح التسجيل لتجنب الاستغلال.
التحليل
بينما لا تزال Microsoft تحقق في السبب الجذري للثغرة الأمنية، تشير الدراسة الأولية إلى ما يلي:
يتطلب استغلال CVE-2023-36884 من المستخدم فتح مستند ضار.
يؤدي فتح الملف الضار إلى تنزيل برنامج نصي يبدأ حقن iframe مما يؤدي إلى تنزيل الحمولة الخبيثة النهائية.
تبدأ الثغرة الأمنية بملفات OOXML المستضافة عن بُعد، بما في ذلك DOCX والتنسيقات المماثلة، والتي يتم تنظيمها داخليًا كأرشيفات ZIP. ضمن هذه الملفات، يلعب ملف تعريف العلاقة المستند إلى XML دورًا مهمًا، مع تركيز اهتمام خاص على علاقة «AfChunk». تُظهر العينات الضارة استغلال هذه العلاقة من خلال تضمين ملفات RTF كوسيلة لتهريب الحمولة. تحتوي ملفات RTF المضمنة هذه على العديد من الكائنات المسؤولة عن تنفيذ التعليمات البرمجية الضارة، مما يؤدي في النهاية إلى تنزيل البرامج الضارة. والجدير بالذكر أنه تم ملاحظة كائنين بارزين داخل ملفات DOCX، وهما كائن OLE1 وكائن CFB، وكلاهما يستخدم لاستغلال عملية ارتباط «URLMoniker».
بنية ملف OOXML: - يتم تنظيم ملفات OOXML، مثل DOCX، بطبيعتها كأرشيفات ZIP، مما يوفر وسيلة ملائمة لتعبئة وتخزين مكونات مختلفة من المستند.
تعريف العلاقة المستندة إلى XML: - داخل ملف DOCX، يعمل ملف XML كتعريف للعلاقة، مما يسهل إنشاء اتصالات بين عناصر مختلفة من المستند.
أهمية علاقة «AfChunk»: - تعتبر علاقة «AfChunk» المحددة في ملف XML ذات أهمية خاصة. تتيح هذه العلاقة تضمين مستند واحد داخل مستند آخر، وبالتالي إنشاء وسيلة لتهريب الحمولة.
الاستخدام الضار لطريقة «AfChunk»: - تمت ملاحظة مثيلات العينات الضارة التي تستفيد من طريقة «AFChunk» لتضمين ملفات RTF داخل ملفات DOCX. تعمل هذه الطريقة كوسيلة لتسليم الحمولة الخفية.
كائنات RTF وحمولة البرامج الضارة: - يوجد داخل ملفات RTF العديد من الكائنات التي تحتوي على الكود الفعلي المسؤول عن تسهيل تنزيل البرامج الضارة وتنفيذها.
كائن OLE1 مع مسار UNC: - الكائن الأولي الذي تمت مواجهته هو كائن OLE1 يحتوي على مسار اصطلاح التسمية العالمي (UNC) المؤدي إلى عنوان IP بعيد. عند التنفيذ، يسترد هذا الكائن ملف.URL، ويمثله المسار «\ ip_address\ to_evil\ payload.url.»
استغلال عملية الارتباط «URLMoniker»: - الكائن الثاني، كائن CFB، يستغل عملية الارتباط «URLMoniker»، مما يعزز انتشار النشاط الضار.
لا يلزم إعادة تشغيل نظام التشغيل، ولكن يوصى بإعادة تشغيل التطبيقات التي تمت إضافة مفتاح التسجيل لها في حالة الاستعلام عن القيمة بالفعل وتخزينها مؤقتًا.
يرجى ملاحظة أنه على الرغم من أن إعدادات التسجيل هذه ستخفف من استغلال هذه المشكلة، إلا أنها قد تؤثر على الوظائف العادية لبعض حالات الاستخدام المتعلقة بهذه التطبيقات. لهذا السبب، نقترح الاختبار. لتعطيل التخفيف، احذف مفتاح التسجيل أو قم بتعيينه على «0".
الكمبيوتر\ HKEY_LOCAL_MACHINE\ البرامج\ السياسات\ ميكروسوفت\ إنترنت إكسبلورر\ الرئيسي\ التحكم في الميزات\ حظر الميزات_الكبرتوكول__التنقل بين الملفات/
أضف أسماء التطبيقات التالية إلى مفتاح التسجيل هذا كقيم من النوع REG_DWORD مع البيانات 1" - Excel.exe - Graph.exe - MSAccess.exe - MSPub.exe - PowerPoint.exe - Visio.exe - WinProj.exe - WinWord.exe - Wordpad.exe
More information and context about Underground Chatter
On-Demand Research Services
Global Threat Intelligence Feed
Protect and proceed with Actionable Intelligence
The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.