ניתוח CVE-2025-21298: כיצד OPSWAT MetaDefender Core™‎ מגן מפני התקפות אפס-יום

עַל יְדֵי סטלה נגוין, מנהלת שיווק מוצר בכירה
25 בפברואר, 2025

שתף את הפוסט הזה

בינואר 2025 לבדו, אותרו על ידי NIST מספר מדהים של 4,085 פגיעויות , מה שיצר התחלה גבוהה במיוחד לשנה, כאשר העלייה במספר האיומים המנוצלים באופן פעיל גוברת. הבולטת מביניהן היא CVE-2025-21298 , פגיעות RCE (ביצוע קוד מרחוק) ללא קליקים ב-Microsoft Windows OLE עם ציון CVSS של 9.8. פגם אבטחה זה מאפשר לתוקפים לפרוץ למערכות פשוט על ידי הטעיית משתמשים ולגרום להם לצפות בתצוגה מקדימה של דוא"ל RTF זדוני ב-Outlook - ללא צורך בלחיצות.

בבלוג זה, ננתח את הניואנסים הטכניים של פגיעות זו, נחקור כיצד OPSWAT MetaDefender Core מפחית איומי יום אפס כאלה, ונספק המלצות מעשיות לארגונים.

הבנת הפגיעות

מינוף טכניקת התקפה ללא קליקים

מתקפה ללא קליקים מנצלת פגיעויות תוכנה כדי להפעיל מתקפה ללא כל התערבות מצד המשתמש. משמעות הדבר היא שניתן להתקין תוכנות זדוניות או לבצע פעולות זדוניות אחרות במכשיר של משתמש מבלי שהמטרה תלחץ על קישור, תפתח קובץ או תנקוט פעולה כלשהי - מה שהופך אותה למסוכנת במיוחד וקשה לזיהוי.

זרימת התקפה CVE-2025-21298

תרשים הממחיש את זרימת ההתקפה CVE-2025-21298 ללא קליקים המנצלת את פגיעות OLE של Windows — זרימת התקיפה CVE-2025-21298

הפגיעות קיימת בתוך מערכת ה-OLE של Windows, ובפרט ב- ole32.dll של הספרייה ‏UtOlePresStmToContentsStm פונקציה. פונקציה זו מטפלת בהמרת נתונים בתוך מבני אחסון OLE אך מכילה בעיית פגיעה בזיכרון שתוקפים יכולים לנצל כדי להריץ קוד שרירותי.

התוקף מספק מסמך RTF בעל מבנה מיוחד המכיל אובייקטי OLE זדוניים באמצעות דואר אלקטרוני. עם הגעתו למערכת של הקורבן, לקוח הדואר האלקטרוני מעבד את הקובץ המצורף כאשר הנמען פותח או מציג את ההודעה בתצוגה מקדימה ב-Microsoft Outlook. מערכת ה-OLE של Windows מקיימת אינטראקציה עם אובייקטים מוטמעים, תוך ניצול הפונקציות הפגיעות. ‏UtOlePresStmToContentsStm פונקציה לעיבוד OLE.

במהלך שלב זה, הפונקציה מנסה להמיר נתונים בתוך מבני אחסון OLE, וכתוצאה מכך נגרמת פגיעה בזיכרון. פגיעה זו בזיכרון מאפשרת RCE, ומעניקה לתוקפים את היכולת לבצע פקודות שרירותיות במערכת הפגועה עם אותן הרשאות כמו המשתמש הנוכחי.

פרצת הוכחת היתכנות עבור CVE-2025-21298 כבר פורסמה ב- GitHub כדי לשחזר מתקפה זו.

מניעת פגיעות יום אפס באמצעות OPSWAT MetaDefender Core

פגיעויות אפס-יום מייצגות את האיומים המאתגרים ביותר באבטחת הסייבר המודרנית, מכיוון שהן צצות באופן בלתי צפוי וניתן לנצל אותן לפני שהספקים מספיקים לשחרר תיקונים. פגמים קריטיים אלה מאפשרים לעתים קרובות פגיעה מיידית במערכת, מה שנותן למגינים זמן מינימלי להגיב. CVE-2025-21298 היא פגיעות אפס-יום מסוכנת במיוחד.

OPSWAT MetaDefender Core is positioned at the forefront of advanced threat detection and prevention, offering a multi-layered approach to security that is particularly effective against zero-day attacks like CVE-2025-21298. It leverages Metascan™ Multiscanning, Deep CDR™ Technology and Adaptive Sandbox to detect and neutralize threats before they can reach critical systems.

הצגה גרפית MetaDefender Core חסימת איומי אפס-יום CVE-2025-21298 בסביבות ארגוניות — הפחתת הסיכון של CVE-2025-21298 באמצעות MetaDefender Core

כקו ההגנה הראשון, Metascan Multiscanning סורק את קובץ הקובץ המצורף לדוא"ל המכיל את קובץ ה-RTF הזדוני. חמישה מתוך 34 מנועי הגנה יכולים לזהות את CVE-2025-21298.

מטאסקאן Multiscanning לוח המחוונים מזהה CVE-2025-21298 בקבצים מצורפים לדוא"ל — זיהוי CVE-2025-21298 באמצעות Metascan Multiscanning

Next, Deep CDR™ Technology proactively sanitizes files by removing potentially malicious elements while preserving the file's usability. To mitigate the risks associated with CVE-2025-21298, we first enable “Remove Embedded Object” for RTF under the Deep CDR™ Technology configuration pane.

Screenshot of Deep CDR™ Technology configuration panel with 'Remove Embedded Object' enabled for RTF files — Enable “Remove Embedded Object” in Deep CDR™ Technology’s configuration

Once enabled, Deep CDR™ Technology identifies this embedded object as a suspicious node and removes the RTF.

Scan result showing file marked as infected and embedded object removed by Deep CDR™ Technology — תוצאת הסריקה כ"נגועה" לאחר שהוסר האובייקט

While Deep CDR™ Technology focuses on malicious object removal and file sanitization, Adaptive Sandbox provides an additional layer of protection by using emulation-based detonation to analyze malicious behaviors and IOCs (indicators of compromise).

המלצות יישום

Deploy Deep CDR™ Technology at email gateways to sanitize all incoming files with embedded RTFs.
הגדרות Adaptive Sandbox לפוצץ קבצים חשודים בבטחה לפני המסירה.
ליישם ניטור מקיף לאיתור ניסיונות ניצול אפשריים.

למה אמון עסקי OPSWAT עֲבוּר Advanced Threat Detection ומניעה

ארגונים במגוון תעשיות, כולל פיננסים, שירותי בריאות ותשתיות קריטיות, מסתמכים על OPSWAT MetaDefender Core עֲבוּר:

Industry-Leading Zero-Day Protection: Advanced security measures like Deep CDR™ Technology and Adaptive Sandbox provide unparalleled defense against emerging threats.
תמיכה בתאימות רגולטורית: OPSWAT פתרונות מסייעים בעמידה בתקני אבטחה כגון GDPR, HIPAA ו-NIST על ידי הבטחת מדיניות מחמירה של ניקוי קבצים.
אינטגרציה חלקה עם תשתית אבטחה קיימת: MetaDefender Core משתלב עם מערכות SIEM, חומות אש ופלטפורמות הגנה על נקודות קצה לגילוי ומניעה מקיפים של איומים.
מדרגיות עבור סביבות ארגוניות: תוכנן להתמודד עם כמויות גדולות של נתונים, תוך הבטחת אבטחה מבלי לפגוע בביצועים.

מחשבות סיכום

CVE-2025-21298 represents a serious threat to organizations, but with proactive security measures, businesses can prevent catastrophic breaches. OPSWAT MetaDefender Core, with its Deep CDR™ Technology, Metascan Multiscanning, and Adaptive Sandbox capabilities, provides cutting-edge protection against zero-day exploits. By implementing multi-layered security strategies and leveraging OPSWAT’s advanced threat prevention technologies, organizations can effectively neutralize emerging cyberthreats and safeguard their critical assets.