מיקרוסופט אישרה ב-7 בספטמבר 2021 כי אירעה פגיעות של ביצוע קוד מרחוק (RCE) במערכת Windows 10. הפגיעות, המסווגת כ-CVE-2021-40444 [1], יכולה לאפשר לפושעי סייבר להשיג שליטה מרחוק על מערכת פרוצה וליצור התקפות יום אפס בשטח.
הפגם טמון ב-MSHTML, מנוע עיבוד דפדפן ב-Internet Explorer. המנוע משמש גם במסמכי Microsoft Office. ידוע כיום כי ה-CVE-2021-40444 משמש להעברת טעינות Cobalt Strike - מסגרת אמולציית איומים מנוצלת בדרך כלל.
חוקר ב-EXPMON זיהה את נקודת האפס הזו בפעם הראשונה בציוץ , ואמר כי "משתמשי אופיס צריכים להיות זהירים ביותר לגבי קבצי אופיס". הם דיווחו על התקרית למיקרוסופט ביום ראשון, 5 בספטמבר. מיקרוסופט גם פרסמה הודעת אבטחה זמן קצר לאחר מכן, שהציעה פתרונות עוקפים בזמן שהחברה חוקרת. ב-14 בספטמבר, מיקרוסופט תיקנה את הפגיעות [2].
כיצד תוקפים מנצלים את CVE-2021-40444
פושעי סייבר עלולים ליצור פקד ActiveX זדוני בתוך מסמך Microsoft Office (.docx). מסמך זה משמש כמארח עבור מנוע הרינדור של הדפדפן MSTHML וכ-OLEObject שמפנה לדף אינטרנט שנבנה.
לאחר מכן, התוקף יצטרך להונות את היעד שלו כדי לפתוח את המסמך הזה. לאחר הפתיחה, מנוע MSTHML ישתמש בפקד ActiveX כדי להריץ קובץ HTML עם סקריפטים מעורפלים, ולאחר מכן יתבצע הורדה של מטעני תוכנה זדונית או בקרות גישה מרחוק.
מיקרוסופט ציינה כי משתמשים עם הרשאות מנהל פגיעים יותר להתקפות כאלה מאשר אלו שאין להם הרשאות משתמש או עם פחות הרשאות משתמש.
פתרונות ומיקוד
מיקרוסופט ייעצה כי השבתת כל התקנות פקדי ActiveX ב-Internet Explorer יכולה לסייע במתן את ההתקפות הנוכחיות. ניתן לעשות זאת על ידי הגדרת מדיניות קבוצתית על ידי עדכון הרישום באמצעות עורך מדיניות קבוצתית מקומית. לאחר ההשבתה, פקדי ActiveX החדשים לא יותקנו, ופקדי ActiveX הקודמים ימשיכו לפעול.
אֵיך Deep CDR יכול להגן מפני מתקפות אפס-יום
נטרול ושחזור תוכן (CDR) יכולים לסייע בהפחתת הסיכונים הכרוכים בפגיעות זו. Deep CDR מניח שכל הקבצים זדוניים, לאחר מכן מנקה ובונה מחדש את רכיבי הקובץ כדי להבטיח שימושיות מלאה עם תוכן בטוח. הטכנולוגיה יכולה 'לנטרל' ביעילות את כל האיומים מבוססי הקבצים, איומים מורכבים ומודעים ל-sandbox, ואיומים המצוידים בטכנולוגיית התחמקות מתוכנות זדוניות כגון תוכנות זדוניות בלתי ניתנות לגילוי או ערפול.
במקרה זה, ה- Deep CDR הטכנולוגיה מסירה את כל האובייקטים הפוטנציאליים של איום כמו OLEObject ו-ActiveX מקובץ המסמך. לאחר ניקוי, המסמך כבר לא מכיל את קישור ה-HTML הזדוני.
איומים שזוהו על ידי MetaDefender Cloud נסרקו, והתוצאות תומכות בפעולות חיטוי:
לאחר החיטוי , התוצאות מראות שה-OLEObject הוסר והקובץ בטוח לפתיחה:
אוֹדוֹת Deep CDR
טכנולוגיית Deep CDR היא מובילה בשוק עם תכונות מעולות כמו עיבוד ארכיון רב-שכבתי, דיוק של יצירה מחדש של קבצים ותמיכה ביותר מ-100 סוגי קבצים. הטכנולוגיה שלנו מספקת תצוגות מעמיקות של מה עובר ניקוי וכיצד הנתונים עוברים ניקוי, ומאפשרת לך לקבל החלטות מושכלות ולהגדיר תצורות שיתאימו למקרי השימוש שלך. התוצאה? קבצים מאובטחים עם 100% מהאיומים המסתורים תוך אלפיות השנייה, כך שתהליך העבודה שלך לא יופרע.
כדי ללמוד עוד על Deep CDR ואיך OPSWAT יכולים להגן על הארגון שלך , דבר עם אחד ממומחי אבטחת הסייבר שלנו בתחום התשתיות הקריטיות .
הפניות
[1] "פגיעות של ביצוע קוד מרחוק ב-MSHTML של מיקרוסופט". 2021. מרכז תגובת האבטחה של מיקרוסופט. https://msrc.microsoft.com/upd...
[2] "טלאי מיקרוסופט ניצלו באופן פעיל את RCE של MSHTML ליום אפס (CVE-2021-40444)". 14 בספטמבר 2021. Help Net Security. https://www.helpnetsecurity.co...
