تم العثور على ثغرة أمنية في Microsoft Office يمكن أن تسمح للمهاجمين بتنفيذ تعليمات برمجية باستخدام ملف Word معد خصيصًا. يمكن أن تؤثر المشكلة الأمنية، التي يطلق عليها اسم Follina، على المستخدمين بمجرد فتح مستند Word الضار على نظامهم. فهو يمكّن المهاجمين من تنفيذ أوامر PowerShell عبر أداة تشخيص Microsoft (MSDT). يتأثر Office 2013 والإصدارات الأحدث بثغرة Follina Zero-day، وفقًا للباحثين. مايكروسوفت لم تقدم حلها بعد.
فريق أبحاث الأمن السيبراني ومقره طوكيو Nao_sec علنا كشف أثرت ثغرة Follina على Microsoft Office على Twitter الأسبوع الماضي. وفقًا للشرح الذي قدمه الباحثون، فإن المشكلة هي السماح لبرنامج Microsoft Word بتنفيذ تعليمات برمجية ضارة عبر MSDT حتى إذا تم تعطيل وحدات الماكرو.
توفر Microsoft وحدات الماكرو كسلسلة من الأوامر والتعليمات التي يمكن للمستخدمين استخدامها لأتمتة مهمة معينة. ومع ذلك، فقد مكنت الثغرة الأمنية الجديدة المهاجمين من معالجة نوع مماثل من الأتمتة، دون استخدام وحدات الماكرو.
“يستخدم المستند ميزة قالب Word البعيد لاسترداد ملف HTML من خادم ويب بعيد، والذي يستخدم بدوره نظام msdt MSProtocol URI لتحميل بعض التعليمات البرمجية وتنفيذ بعض PowerShell،” يوضح الباحث كيفن بومونت، الذي فحص المشكلة مرفوعة بواسطة Nao_sec. “لا ينبغي أن يكون ذلك ممكنا.”
أطلق بومونت على الثغرة اسم “Follina” نظرًا لأن العينة التي تم رصدها في الملف تشير إلى 0438، وهو رمز منطقة Follina الإيطالية.
ويعتقد أن الثغرة الأمنية يتم استغلالها من قبل بعض المهاجمين.
وقال بومونت إن الملف الذي يستغل الثغرة استهدف مستخدمًا في روسيا منذ أكثر من شهر.
تبين أن إصدارات Microsoft Office، بما في ذلك Office 2013 وOffice 2021، معرضة للهجمات بسبب المشكلة. وأشار الباحثون إلى أن بعض إصدارات Office المضمنة في ترخيص Microsoft 365 يمكن أن يتم استهدافها أيضًا من قبل المهاجمين على كل من نظامي التشغيل Windows 10 وWindows 11.
وفي البداية، تم إبلاغ مايكروسوفت بالثغرة الأمنية في أبريل، على الرغم من أن الشركة لم تعتبرها مشكلة أمنية في ذلك الوقت، كما قال باحث أمني على تويتر التقارير.
ومع ذلك، اعترفت مايكروسوفت أخيرًا بوجود الثغرة الأمنية يوم الاثنين. يتم تعقبه باسم CVE-2022-30190.
في منشور تم نشره على مدونة Microsoft Security Response Center، شاركت شركة Redmond أيضًا بعض الحلول، بما في ذلك خيار تعطيل بروتوكول MSDT URL وتشغيل الحماية المقدمة عبر السحابة وخيارات إرسال العينات التلقائية على Microsoft Defender.
ومع ذلك، لم تقدم Microsoft حتى الآن جدولًا زمنيًا محددًا للوقت الذي يمكننا فيه رؤية الإصلاح قادمًا لمستخدمي Office.
وفي هذه الأثناء، يمكن للمستخدمين البقاء آمنين من خلال عدم فتح أي مستندات Microsoft Word غير معروفة إذا كان لديهم إصدار Office متأثر على جهاز يعمل بنظام Windows.
