يلفت باحثو الأمن السيبراني الانتباه إلى عيب في يوم الصفر في Microsoft Office يمكن إساءة استخدامه لتحقيق تنفيذ تعسفي للتعليمات البرمجية على أنظمة Windows المتأثرة.

ظهرت الثغرة الأمنية بعد أن كشف فريق بحثي مستقل في مجال الأمن السيبراني يُعرف باسم nao_sec عن مستند Word (” 05-2022-0438.doc “) تم تحميله إلى VirusTotal من عنوان IP في بيلاروسيا.

لاحظ الباحثون في سلسلة من التغريدات الأسبوع الماضي : “إنها تستخدم رابط Word الخارجي لتحميل HTML ثم تستخدم مخطط ‘ms-msdt’ لتنفيذ كود PowerShell” .

وفقًا للباحث الأمني ​​كيفين بومونت ، الذي أطلق على الخلل اسم “Follina” ، يستفيد maldoc من ميزة القالب البعيد لـ Word لجلب ملف HTML من الخادم ، والذي يستخدم بعد ذلك مخطط URI “ms-msdt: //” لتشغيل حمولة ضارة.

تم تسمية هذا النقص بهذا الاسم لأن العينة الخبيثة تشير إلى 0438 ، وهو رمز منطقة Follina ، وهي بلدية في مدينة تريفيزو الإيطالية.

MSDT هي اختصار لـ Microsoft Support Diagnostics Tool ، وهي أداة تُستخدم لاستكشاف الأخطاء وإصلاحها وجمع بيانات التشخيص لتحليلها بواسطة متخصصي الدعم لحل المشكلة.

وأوضح بومونت: “هناك الكثير مما يحدث هنا ، ولكن المشكلة الأولى هي أن Microsoft Word يقوم بتنفيذ التعليمات البرمجية عبر msdt (أداة دعم) حتى لو تم تعطيل وحدات الماكرو” .

وأضاف الباحث: ” يبدأ العرض المحمي ، على الرغم من أنه إذا قمت بتغيير المستند إلى نموذج RTF ، فإنه يعمل دون فتح المستند (عبر علامة تبويب المعاينة في Explorer) ناهيك عن طريقة العرض المحمية”.

في تحليل مستقل ، قامت شركة الأمن السيبراني Huntress Labs بتفصيل تدفق الهجوم ، مشيرة إلى ملف HTML (“RDF842l.html”) الذي يطلق الاستغلال الذي نشأ من مجال لا يمكن الوصول إليه الآن باسم “xmlformats [.] com.”

قال جون هاموند من Huntress Labs: “يمكن أن يؤدي ملف Rich Text Format (.RTF) إلى استدعاء هذا الاستغلال من خلال جزء المعاينة فقط داخل Windows Explorer” . “يشبه إلى حد كبير CVE-2021-40444 ، يؤدي هذا إلى زيادة خطورة هذا التهديد ليس فقط من خلال” نقرة واحدة “للاستغلال ، ولكن من المحتمل أيضًا باستخدام مشغل” النقر الصفري “.”

يقال إن العديد من إصدارات Microsoft Office ، بما في ذلك Office و Office 2016 و Office 2021 ، قد تأثرت ، على الرغم من أنه من المتوقع أن تكون الإصدارات الأخرى عرضة للخطر أيضًا.

علاوة على ذلك ، تمكن ريتشارد وارين من NCC Group من إظهار ثغرة في Office Professional Pro مع تصحيحات أبريل 2022 التي تعمل على جهاز محدث يعمل بنظام Windows 11 مع تمكين جزء المعاينة.

قال بومونت: “ستحتاج Microsoft إلى تصحيحها عبر جميع عروض المنتجات المختلفة ، وسيحتاج بائعو الأمن إلى اكتشاف وحظر قويين”. لقد تواصلنا مع Microsoft للتعليق ، وسنقوم بتحديث القصة بمجرد سماعنا مرة أخرى.