اكتشف خبراء الأمن في شركة كاسبرسكي وجود ثغرة قديمة في (مايكروسوفت أوفيس) يستغلها المهاجمون الذين يستهدفون المستخدمين والشركات على نطاق واسع حاليًا.
إذ اكتشف خبراء كاسبرسكي زيادة استغلال ثغرة تحمل الرمز (CVE-2017-11882) بنسبة 500% منذ بداية العام، مما أدى إلى إلحاق الضرر بآلاف المستخدمين. وظهرت ثغرة قديمة أخرى تحمل الرمز (CVE-2018-0802)، وكانت بمثابة “السلاح الهجومي” الأكثر انتشارًا بين هؤلاء المجرمين، بعد أن تمكنوا من استهداف ما يزيد على 130,000 مستخدم.
وبما أن الإصدارات القديمة من برامج “مايكروسوفت” شائعة جدًا، فإنها لا تزال تمثل هدفًا مثيرًا للغاية بالنسبة لهؤلاء المهاجمين، الأمر الذي يبرز ضرورة تثبيت أحد الحلول الأمنية الموثوقة، وأهمية تحديث البرنامج بصورة منتظمة.
وتمكن باحثو كاسبرسكي خلال الربع الثاني من العام الجاري 2023، من اكتشاف أكثر من 11,000 مستخدم تعرّضوا لهجمات استندت إلى ثغرة أمنية قديمة في برامج “مايكروسوفت أوفيس”، والمعروفة بالرمز (CVE-2017-11882). وتسمح هذه الثغرة الأمنية للمهاجمين باستغلال أداة تحرير المعادلات في مستندات “مايكروسوفت أوفيس”، ليتمكنوا عن طريقها من تنفيذ تعليمات برمجية خبيثة على الجهاز المستهدف.
وبهذه الطريقة، يستطيع المهاجمون تثبيت البرامج الخبيثة أو البرامج غير المرغوب فيها دون علم المستخدم. وحتى يتمكن المهاجمون من استغلال الثغرة الأمنية، فإن كل ما يحتاجون إليه هو إرسال ملف خبيث إلى الضحية المحتملة، أو إنشاء موقع إلكتروني بنوع الملف نفسه، ثم محاولة خداع الأشخاص لفتحه باستخدام تقنيات الهندسة الاجتماعية.
ورغم تحديد الثغرة الأمنية وتصحيحها منذ فترة طويلة، تم تسجيل زيادة بنسبة 483% في الربع الثاني من هذا العام في عمليات استغلالها لهذا الغرض مقارنة بالربع الأول من العام ذاته. ويشير هذا التوجه المثير للقلق إلى أن الثغرات القديمة قد تبقى وسيلة فعالة لمهاجمة أجهزة المستخدمين من الأفراد والبنى التحتية للمؤسسات.
وقال ألكسندر كوليسنيكوف، رئيس فريق محللي البرامج الضارة في كاسبرسكي: “بدأ المهاجمون بالفعل باستغلال هذه الثغرة من جديد، وقد يلجؤون إلى تبني تقنيات تشويش جديدة لتفادي اكتشافهم. وعلى سبيل المثال، قد يحاولون إدخال أنواع جديدة من البيانات الخبيثة في مستندات “مايكروسوفت أوفيس”. ومع ذلك، يمكن الاعتماد على الحلول الأمنية المصممة للكشف الشامل لمنع مثل هذه الهجمات وتوفير الحماية للمستخدمين. وهنا تبرز أيضًا أهمية تثبيت تحديثات البرامج والتصحيحات في الوقت المحدد”.
| الثغرات الخطيرة | عدد المستخدمين الذين تأثروا بهذه الثغرات |
| CVE-2018-0802 | 130126 |
| CVE-2010-2568 | 31091 |
| CVE-2017-0199 | 13537 |
| CVE-2017-11882 | 11394 |
| CVE-2011-0105 | 10646 |
كما واصل المهاجمون استغلال الثغرات القديمة في برامج مايكروسوفت والاعتماد عليها كأدوات أساسية في هجماتهم. وقاموا في أغلب الأحيان باستغلال الثغرة (CVE-2018-0802). وتعرض أكثر من 130,000 شخص لهجمات مماثلة. وفي العادة، يعتمد استغلال هذه الثغرة الأمنية على النمط نفسه لثغرة (CVE-2017-11882)، حيث يتضمن إحداث تلف في الذاكرة، حتى يتمكن المهاجم من التحكم في النظام باستخدام ملف أُنشئ خصوصًا لهذا الغرض.
وأُدرجت أيضًا ثلاث ثغرات أخرى، وهي: CVE-2010-2568 و CVE-2017-0199 و CVE-2011-0105 على قائمة أكثر عمليات الاستغلال التي اُكتشفت بصورة متكررة في الربع الثاني. وتتضمن الثغرة الأولى تنفيذ التعليمات البرمجية عبر ملف LNK يُعّد خصوصًا لهذه الغاية، بينما ترتبط الثغرتان الأخيرتان بمجموعة “مايكروسوفت أوفيس”.
نصائح خبراء كاسبرسكي للحماية من هذه الهجمات:
وللحماية من التهديدات المتعلقة باستغلال الثغرات المختلفة، يوصي خبراء كاسبرسكي باتباع الإجراءات التالية:
- تثبيت التصحيحات لمعالجة الثغرات الجديدة في أسرع وقت ممكن. وبمجرد تحميلها، لا يمكن للمهاجمين السيبرانيين استغلالها.
- التحقق من الرابط قبل النقر. يطلب منك المرور فوق الرابط بالمؤشر لمعاينة عنوان URL والبحث عن الأخطاء الإملائية أو المخالفات الأخرى. وفي بعض الأحيان، تبدو رسائل البريد الإلكتروني والمواقع الإلكترونية الزائفة مطابقة تمامًا للمواقع الحقيقية. ويعتمد ذلك على مستوى أداء المجرمين لهذه المهام. لكن يرجح أن تكون الروابط التشعبية غير صحيحة؛ لأنها قد تحتوي على أخطاء إملائية، أو تعيد توجيهك إلى مواقع مختلفة.
- استخدم أحد الحلول لحماية نقاط النهاية وخوادم البريد الإلكتروني؛ لأنها تمتلك القدرة على مكافحة التصيد الاحتيالي، لتقليل فرصة الإصابة من خلال رسائل التصيد الاحتيالي الإلكترونية.
- يطلب من الشركات تحسين استخدام أدوات الأمن السيبراني من خلال تنفيذ حلول الكشف والاستجابة الموسعة التي تجمع القراءات مِن بُعد من مصادر البيانات المختلفة، بما يشمل: نقاط النهاية والشبكات والبيانات السحابية. وبهذه الطريقة يمكن الحصول على نظرة أمنية شاملة، فضلًا عن الكشف الفوري والاستجابة التلقائية للتهديدات الحالية.
- الاعتماد على الخدمات وتوظيف الحلول المناسبة، ومنها: Kaspersky Incident Response أو Kaspersky Endpoint Detection and Response Expert أو Kaspersky Managed Detection and Response؛ لأنها تساعد في تحديد الهجمات وإيقافها في المراحل المبكرة، قبل أن يتمكن مجرمو الإنترنت من تحقيق أهدافهم النهائية.