ניתוח CVE-2025-21298: כיצד OPSWAT MetaDefender Core™‎ מגן מפני התקפות אפס-יום

עַל יְדֵי סטלה נגוין, מנהלת שיווק מוצר בכירה
25 בפברואר, 2025

שתף את הפוסט הזה

בינואר 2025 לבדו, אותרו על ידי NIST מספר מדהים של 4,085 פגיעויות , מה שיצר התחלה גבוהה במיוחד לשנה, כאשר העלייה במספר האיומים המנוצלים באופן פעיל גוברת. הבולטת מביניהן היא CVE-2025-21298 , פגיעות RCE (ביצוע קוד מרחוק) ללא קליקים ב-Microsoft Windows OLE עם ציון CVSS של 9.8. פגם אבטחה זה מאפשר לתוקפים לפרוץ למערכות פשוט על ידי הטעיית משתמשים ולגרום להם לצפות בתצוגה מקדימה של דוא"ל RTF זדוני ב-Outlook - ללא צורך בלחיצות.

בבלוג זה, ננתח את הניואנסים הטכניים של פגיעות זו, נחקור כיצד OPSWAT MetaDefender Core מפחית איומי יום אפס כאלה, ונספק המלצות מעשיות לארגונים.

הבנת הפגיעות

מינוף טכניקת התקפה ללא קליקים

מתקפה ללא קליקים מנצלת פגיעויות תוכנה כדי להפעיל מתקפה ללא כל התערבות מצד המשתמש. משמעות הדבר היא שניתן להתקין תוכנות זדוניות או לבצע פעולות זדוניות אחרות במכשיר של משתמש מבלי שהמטרה תלחץ על קישור, תפתח קובץ או תנקוט פעולה כלשהי - מה שהופך אותה למסוכנת במיוחד וקשה לזיהוי.

זרימת התקפה CVE-2025-21298

תרשים הממחיש את זרימת ההתקפה CVE-2025-21298 ללא קליקים המנצלת את פגיעות OLE של Windows — זרימת התקיפה CVE-2025-21298

הפגיעות קיימת בתוך מערכת ה-OLE של Windows, ובפרט ב- ole32.dll של הספרייה ‏UtOlePresStmToContentsStm פונקציה. פונקציה זו מטפלת בהמרת נתונים בתוך מבני אחסון OLE אך מכילה בעיית פגיעה בזיכרון שתוקפים יכולים לנצל כדי להריץ קוד שרירותי.

התוקף מספק מסמך RTF בעל מבנה מיוחד המכיל אובייקטי OLE זדוניים באמצעות דואר אלקטרוני. עם הגעתו למערכת של הקורבן, לקוח הדואר האלקטרוני מעבד את הקובץ המצורף כאשר הנמען פותח או מציג את ההודעה בתצוגה מקדימה ב-Microsoft Outlook. מערכת ה-OLE של Windows מקיימת אינטראקציה עם אובייקטים מוטמעים, תוך ניצול הפונקציות הפגיעות. ‏UtOlePresStmToContentsStm פונקציה לעיבוד OLE.

במהלך שלב זה, הפונקציה מנסה להמיר נתונים בתוך מבני אחסון OLE, וכתוצאה מכך נגרמת פגיעה בזיכרון. פגיעה זו בזיכרון מאפשרת RCE, ומעניקה לתוקפים את היכולת לבצע פקודות שרירותיות במערכת הפגועה עם אותן הרשאות כמו המשתמש הנוכחי.

פרצת הוכחת היתכנות עבור CVE-2025-21298 כבר פורסמה ב- GitHub כדי לשחזר מתקפה זו.

מניעת פגיעות יום אפס באמצעות OPSWAT MetaDefender Core

פגיעויות אפס-יום מייצגות את האיומים המאתגרים ביותר באבטחת הסייבר המודרנית, מכיוון שהן צצות באופן בלתי צפוי וניתן לנצל אותן לפני שהספקים מספיקים לשחרר תיקונים. פגמים קריטיים אלה מאפשרים לעתים קרובות פגיעה מיידית במערכת, מה שנותן למגינים זמן מינימלי להגיב. CVE-2025-21298 היא פגיעות אפס-יום מסוכנת במיוחד.

OPSWAT MetaDefender Core בחזית זיהוי ומניעת איומים מתקדמים, ומציעה גישה רב-שכבתית לאבטחה, היעילה במיוחד כנגד מתקפות "יום אפס" כגון CVE-2025-21298. היא מנצלת את טכנולוגיית Metascan™ Multiscanning, את טכנולוגיית Deep CDR™ ואת Adaptive Sandbox כדי לזהות ולנטרל איומים לפני שהם מגיעים למערכות קריטיות.

הצגה גרפית MetaDefender Core חסימת איומי אפס-יום CVE-2025-21298 בסביבות ארגוניות — הפחתת הסיכון של CVE-2025-21298 באמצעות MetaDefender Core

כקו ההגנה הראשון, Metascan Multiscanning סורק את קובץ הקובץ המצורף לדוא"ל המכיל את קובץ ה-RTF הזדוני. חמישה מתוך 34 מנועי הגנה יכולים לזהות את CVE-2025-21298.

מטאסקאן Multiscanning לוח המחוונים מזהה CVE-2025-21298 בקבצים מצורפים לדוא"ל — זיהוי CVE-2025-21298 באמצעות Metascan Multiscanning

בנוסף, טכנולוגיית Deep CDR™ מנקה קבצים באופן יזום על ידי הסרת רכיבים שעלולים להיות זדוניים, תוך שמירה על תפקודו התקין של הקובץ. כדי לצמצם את הסיכונים הקשורים ל-CVE-2025-21298, אנו מפעילים תחילה את האפשרות "הסר אובייקט מוטמע" עבור קבצי RTF בחלונית התצורה של טכנולוגיית Deep CDR™.

צילום מסך של לוח ההגדרות של טכנולוגיית Deep CDR™, כאשר האפשרות 'הסר אובייקט מוטמע' מופעלת עבור קבצי RTF — הפעל את האפשרות "הסר אובייקט מוטמע" בהגדרות הטכנולוגיה Deep CDR™

לאחר ההפעלה, טכנולוגיית Deep CDR™ מזהה את האובייקט המוטמע כצומת חשוד ומסירה את קובץ ה-RTF.

תוצאת הסריקה מציגה קובץ שסומן כנגוע ואובייקט מוטמע שהוסר באמצעות טכנולוגיית Deep CDR™ — תוצאת הסריקה כ"נגועה" לאחר שהוסר האובייקט

בעוד שטכנולוגיית Deep CDR™ מתמקדת בהסרת אובייקטים זדוניים ובניקוי קבצים, Adaptive Sandbox שכבת הגנה נוספת באמצעות פיעול מבוסס הדמיה, לצורך ניתוח התנהגויות זדוניות ו-IOCs (אינדיקטורים לפריצה).

המלצות יישום

יש לפרוס את טכנולוגיית Deep CDR™ בשערי הדוא"ל כדי לנקות את כל הקבצים הנכנסים המכילים קבצי RTF מוטמעים.
הגדרות Adaptive Sandbox לפוצץ קבצים חשודים בבטחה לפני המסירה.
ליישם ניטור מקיף לאיתור ניסיונות ניצול אפשריים.

למה אמון עסקי OPSWAT עֲבוּר Advanced Threat Detection ומניעה

ארגונים במגוון תעשיות, כולל פיננסים, שירותי בריאות ותשתיות קריטיות, מסתמכים על OPSWAT MetaDefender Core עֲבוּר:

הגנה מובילה בתעשייה מפני תקיפות "יום אפס": אמצעי אבטחה מתקדמים כגון טכנולוגיית Deep CDR™ וסביבת בדיקה Adaptive (Sandbox הגנה חסרת תקדים מפני איומים מתהווים.
תמיכה בתאימות רגולטורית: OPSWAT פתרונות מסייעים בעמידה בתקני אבטחה כגון GDPR, HIPAA ו-NIST על ידי הבטחת מדיניות מחמירה של ניקוי קבצים.
אינטגרציה חלקה עם תשתית אבטחה קיימת: MetaDefender Core משתלב עם מערכות SIEM, חומות אש ופלטפורמות הגנה על נקודות קצה לגילוי ומניעה מקיפים של איומים.
מדרגיות עבור סביבות ארגוניות: תוכנן להתמודד עם כמויות גדולות של נתונים, תוך הבטחת אבטחה מבלי לפגוע בביצועים.

מחשבות סיכום

CVE-2025-21298 מהווה איום חמור על ארגונים, אך באמצעות אמצעי אבטחה יזומים, חברות יכולות למנוע פרצות אבטחה הרות אסון. OPSWAT MetaDefender Core, עם טכנולוגיית Deep CDR™, סריקה רב-שכבתית (Metascan Multiscanning)Sandbox סביבתSandbox Adaptive Sandbox ), מספק הגנה מתקדמת מפני ניצול פרצות יום אפס. על ידי יישום אסטרטגיות אבטחה רב-שכבתיות וניצול טכנולוגיות מניעת האיומים המתקדמות OPSWAT, ארגונים יכולים לנטרל ביעילות איומי סייבר מתהווים ולהגן על הנכסים הקריטיים שלהם.