حمايةويندوز

Follina: احذر ! برنامج ضار جديد يهاجم مايكروسوفت وورد ولا يمكن لبرنامج مكافحة الفيروسات فعل أي شيء

تم اكتشاف الخلل الأمني ​​الجديد “Follina” في وورد / Word للتو. قد تكون آثاره مدمرة إذا لم تتصرف مايكروسوفت بسرعة، خاصةً أنه لا يمكن اكتشافه تقريبًا بواسطة أي برنامج أمان.


تم اكتشاف عيب جديد في مايكروسوفت وورد للتو: من خلال فتح مستند بسيط باستخدام تطبيق أوفيس، من الممكن تنفيذ أوامر PowerShell عبر أداة تشخيص دعم مايكروسوفت (MSDT). يُطلق على هذا الخطأ اسم Follina، ويهاجم تطبيقات مايكروسوفت أوفيس مباشرةً، ولكنه لا يتطلب أي حقوق إدارية معينة على الجهاز. أسوأ جزء هو أنه لا يتطلب تشغيل أي وحدات ماكرو ويظل غير قابل للكشف بواسطة مضاد فيروسات مثل Windows Defender.

وبحسب ما ورد تم اكتشاف الخلل وإبلاغ مايكروسوفت به في أبريل 2022. إلا أن شركة ردموند العملاقة رفضت ذلك، بحجة أنها ليست مشكلة أمنية وأن مطوريها لم يتمكنوا من تكرار هذا العمل الفذ. ومع ذلك، تم تحليل الثغرة الأمنية من قبل العديد من خبراء الأمن، الذين تمكنوا من استغلالها في عدة إصدارات من أوفيس. وبالتالي، فإن إصدارات أوفيس 2013 و 2016 و Office Pro Plus و 2021 هي التي تتأثر.

يسمح هذا الخلل في وورد بإطلاق تعليمات برمجية ضارة في مواجهة برنامج مكافحة الفيروسات

اكتشف باحث أمني صاحب الاسم المستعار nao_sec ، البرامج الضارة المعنية قبل بضعة أيام أثناء البحث عن الملفات على VirusTotal، والتي استغلت عيبًا آخر (CVE-2021-40444). هذه هي الطريقة التي عثر بها على مستند وورد ضار، والذي يستخدم رابطًا خارجيًا من وورد لتحميل رمز HTML، ثم يقوم بتشغيل رمز PowerShell باستخدام أداة MSDT (أداة تشخيص دعم مايكروسوفت). يوضح الباحث الأمني ​​الآخر، كيفين بومونت، في مدونته أن مجموعة الأوامر تطلق MSDT بغض النظر عن أي شيء، حتى عندما يتم تعطيل تنفيذ الماكرو في وورد.

Follina malware office


وفقًا للباحثين، سيتمكن المهاجم من استغلال هذا الخلل لاستعادة البيانات الموجودة على كمبيوتر الضحية، بما في ذلك تجزئة كلمات المرور. على الرغم من أن وورد ينبه المستخدم إلى محاولة تنفيذ تعليمات برمجية ضارة، إلا أنه يمكن التحايل على المشكلة بسهولة عن طريق تغيير امتداد الملف إلى.RTF. لذلك، من الممكن تنفيذ التعليمات البرمجية الضارة دون أن يقوم المستخدم بفتح الملف باستخدام تطبيق مايكروسوفت أوفيس، بشرط أن يكون قد قام بتنشيط وظيفة معاينة اكسبلورر.

تزداد صعوبة اكتشاف مثل هذا الخلل حيث يتم تحميل الشفرة الخبيثة عن بُعد. لا يتضمن مستند وورد نفسه أي برامج ضارة، لذلك لا يمكن تصنيفها على أنها تهديد. ينصح الباحثون من موقع Huntress بتنشيط الوظيفة “منع جميع تطبيقات أوفيس من إنشاء عمليات فرعية”، كما هو موضح على موقع مايكروسوفت. فيما يوضح باحث آخر أنه يكفي أيضًا إزالة اقتران الملف لـ MS-MSDT، بحيث لا يقوم مايكروسوفت أوفيس بتشغيل هذه الأداة بمفرده.

Maldoc.DOCX MSDT Inside Sandbox

زر الذهاب إلى الأعلى