🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

تم استغلال برنامج مايكروسوفت أوفيس زيرو داي CVE-2023-36884 في البرية

أصدرت شركة Microsoft تقريرًا استشاريًا يكشف عن ثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد لـ Office و Windows HTML تم استغلالها في البرية (CVE-2023-36884).
Updated on
August 19, 2025
Published on
July 25, 2023
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.

الفئة: ذكاء نقاط الضعف

فئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعد

غطاء الكهف: CVE-2023-36884

السيرة الذاتية: 3.0 النتيجة: 8.3

ملخص تنفيذي

  • أصدرت شركة مايكروسوفت تقريرًا استشاريًا يكشف عن ثغرة أمنية مستغلة في تنفيذ التعليمات البرمجية عن بُعد لنظامي التشغيل Office وWindows HTML- CVE-2023-36884.
  • تخضع الثغرة للاستغلال النشط من قبل مجموعة الجرائم الإلكترونية Storm-0978 التي تم اكتشاف تورطها في أنشطة الجرائم الإلكترونية والتجسس.
  • من المعروف أن Storm-0978 تقوم بتطوير وتوزيع الباب الخلفي لـ RomCom على شبكات ضحاياها.
  • توصي Microsoft بعمليات التخفيف التالية:

    - حظر جميع تطبيقات Office من إنشاء عمليات فرعية
    - قم بتعيين ميزة_حظر_تصفح ملفات_البروتوكول_المتقاطعة مفتاح التسجيل لتجنب الاستغلال.

التحليل

بينما لا تزال Microsoft تحقق في السبب الجذري للثغرة الأمنية، تشير الدراسة الأولية إلى ما يلي:

  • يتطلب استغلال CVE-2023-36884 من المستخدم فتح مستند ضار.
  • يؤدي فتح الملف الضار إلى تنزيل برنامج نصي يبدأ حقن iframe مما يؤدي إلى تنزيل الحمولة الخبيثة النهائية.
  • تبدأ الثغرة الأمنية بملفات OOXML المستضافة عن بُعد، بما في ذلك DOCX والتنسيقات المماثلة، والتي يتم تنظيمها داخليًا كأرشيفات ZIP. ضمن هذه الملفات، يلعب ملف تعريف العلاقة المستند إلى XML دورًا مهمًا، مع تركيز اهتمام خاص على علاقة «AfChunk». تُظهر العينات الضارة استغلال هذه العلاقة من خلال تضمين ملفات RTF كوسيلة لتهريب الحمولة. تحتوي ملفات RTF المضمنة هذه على العديد من الكائنات المسؤولة عن تنفيذ التعليمات البرمجية الضارة، مما يؤدي في النهاية إلى تنزيل البرامج الضارة. والجدير بالذكر أنه تم ملاحظة كائنين بارزين داخل ملفات DOCX، وهما كائن OLE1 وكائن CFB، وكلاهما يستخدم لاستغلال عملية ارتباط «URLMoniker».
  • بنية ملف OOXML:
    - يتم تنظيم ملفات OOXML، مثل DOCX، بطبيعتها كأرشيفات ZIP، مما يوفر وسيلة ملائمة لتعبئة وتخزين مكونات مختلفة من المستند.
  • تعريف العلاقة المستندة إلى XML:
    -
    داخل ملف DOCX، يعمل ملف XML كتعريف للعلاقة، مما يسهل إنشاء اتصالات بين عناصر مختلفة من المستند.
  • أهمية علاقة «AfChunk»:
    -
    تعتبر علاقة «AfChunk» المحددة في ملف XML ذات أهمية خاصة. تتيح هذه العلاقة تضمين مستند واحد داخل مستند آخر، وبالتالي إنشاء وسيلة لتهريب الحمولة.
  • الاستخدام الضار لطريقة «AfChunk»:
    - تمت ملاحظة مثيلات العينات الضارة التي تستفيد من طريقة «AFChunk» لتضمين ملفات RTF داخل ملفات DOCX. تعمل هذه الطريقة كوسيلة لتسليم الحمولة الخفية.
  • كائنات RTF وحمولة البرامج الضارة:
    - يوجد داخل ملفات RTF العديد من الكائنات التي تحتوي على الكود الفعلي المسؤول عن تسهيل تنزيل البرامج الضارة وتنفيذها.
  • كائن OLE1 مع مسار UNC:
    - الكائن الأولي الذي تمت مواجهته هو كائن OLE1 يحتوي على مسار اصطلاح التسمية العالمي (UNC) المؤدي إلى عنوان IP بعيد. عند التنفيذ، يسترد هذا الكائن ملف.URL، ويمثله المسار «\ ip_address\ to_evil\ payload.url.»
  • استغلال عملية الارتباط «URLMoniker»:
    - الكائن الثاني، كائن CFB، يستغل عملية الارتباط «URLMoniker»، مما يعزز انتشار النشاط الضار.
تم اكتشاف سلسلة الاستغلال والعدوى بواسطة فولكسيتي

التخفيف

  • لمنع استغلال الثغرة الأمنية، قم بحظر جميع تطبيقات Office من إنشاء عمليات تابعة في أنظمة أمان نقطة النهاية.
  • قم بتعيين مفتاح التسجيل FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION لتجنب الاستغلال.
  • لا يلزم إعادة تشغيل نظام التشغيل، ولكن يوصى بإعادة تشغيل التطبيقات التي تمت إضافة مفتاح التسجيل لها في حالة الاستعلام عن القيمة بالفعل وتخزينها مؤقتًا.
  • يرجى ملاحظة أنه على الرغم من أن إعدادات التسجيل هذه ستخفف من استغلال هذه المشكلة، إلا أنها قد تؤثر على الوظائف العادية لبعض حالات الاستخدام المتعلقة بهذه التطبيقات. لهذا السبب، نقترح الاختبار. لتعطيل التخفيف، احذف مفتاح التسجيل أو قم بتعيينه على «0".
  • الكمبيوتر\ HKEY_LOCAL_MACHINE\ البرامج\ السياسات\ ميكروسوفت\ إنترنت إكسبلورر\ الرئيسي\ التحكم في الميزات\ حظر الميزات_الكبرتوكول__التنقل بين الملفات/
  • أضف أسماء التطبيقات التالية إلى مفتاح التسجيل هذا كقيم من النوع REG_DWORD مع البيانات 1"
    - Excel.exe
    - Graph.exe
    - MSAccess.exe
    - MSPub.exe
    - PowerPoint.exe
    - Visio.exe
    - WinProj.exe
    - WinWord.exe
    - Wordpad.exe

لقطة شاشة لإعدادات مفتاح FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION


IOC

ROMCOM dropper

3e7bf3a34c4dfa6abfce8254f213cbc98331504fa956b8d35e0961966593034f

ROMCOM loader

dd65c3ad7473f211ae661ccc37f8017b9697dfffb75d415cb035399c14bc1bc9

ROMCOM worker

7424de0984159e0c01da89a429e036835f253de35ec2bdade0b91db906ec54ec

ROMCOM networking

96d1cd0a6038ee295b02f038a30ac756bae0ee5ae26f5a64637adf86777d7e14

ROMCOM dropper

ca0ccf331b2545102452e3b505a64444f50ab00d406564dda6ea5987f0194208

ROMCOM networking

597dd1e09bd23cd18132ce27a731d0b66c78381e90292ece0f23738773743a7c

ROMCOM loader

ad39ad35084d8339744299def3af979e666add8103ebd706de3cd1430d3ca8a1

ROMCOM worker

ac1fce0ca42f05d54dfbf96415d558f9de1c87abc940531a051536d97bee5c32

ROMCOM dropper

116ec1c306a2ee93ad5371d189bdbc15b23588be0322622b329f763c7f8622f1

ROMCOM networking

615bfe8f7f3903bb380f59bca6339d1b37125cc9d303f935e7197ff0706fded7

ROMCOM loader

e58fcd4a8d13cb1847f08fd3db6f86473c589f935bcf76ff2837bfac3e8f8f6e

ROMCOM dropper

3b26e27031a00a32f3616de5179a003951a9c92381cd8ec552d39f7285ff42ee

ROMCOM loader

916153d8265a2f9344648e302c6b7b8d7e1f40f704b0df83edde43986ab68e56

ROMCOM worker

e7914f823ed0763c7a03c3cfdbcf9344e1da93597733ac22fe3d31a5a4e179aa

ROMCOM networking

3e293680e0f78e404fccb1ed6daa0b49d3f6ea71c81dbaa53092b7dd32e81a0d

ROMCOM networking

0501d09a219131657c54dba71faf2b9d793e466f2c7fdf6b0b3c50ec5b866b2a

ROMCOM loader

65778e3afc448f89680e8de9791500d21a22e2279759d8d93e2ece2bc8dae04d

ROMCOM worker

2ba51d7e338242bc6a8109317b91dd13137e296693c535ceacc1288775acc81f

ROMCOM networking

7c72e817069bc966a8166a701da397508d44fe9da0e72a047fcf3d694eee81e9

ROMCOM loader

555ef671179b83989858b6d084b3aee0a379c9d8c75ca292961373d3b71315f8

ROMCOM worker

244885707e1ccfb02160ae60d749bafcfbcfd1d2572afed9113010609cd43820



References

#Traffic Light Protocol - Wikipedia

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations