كاسبرسكي تكتشف زيادة إستخدام ثغرة برنامج “مايكروسوفت أوفيس” القديمة

كاسبرسكي تكتشف زيادة إستخدام ثغرة برنامج “مايكروسوفت أوفيس” القديمة بنسبة ستة أضعاف في الربع الثاني من 2023

كتبت صافي علي

توصلت كاسبرسكي إلى أن ثغرة قديمة توجد في “مايكروسوفت أوفيس” يتم إستخدامها حالياً على نطاق واسع بين المهاجمين السيبرانيين ممن يستهدفون المستخدمين والشركات. واكتشفت الشركة زيادة استغلال ثغرة تحمل الرمز (CVE-2017-11882) بنسبة 500% منذ بداية العام، ما أدى إلى إلحاق الضرر بآلاف المستخدمين. وظهرت ثغرة قديمة أخرى تحمل الرمز (CVE-2018-0802)، وكانت بمثابة “السلاح الهجومي” الأكثر انتشاراً بين أيدي هؤلاء المجرمين، بعد أن تمكنوا من استهداف ما يزيد على 130,000 مستخدم. وبما أن الإصدارات القديمة من برامج “مايكروسوفت” شائعة جداً، فإنها لا تزال تمثل هدفاً مثيراً للغاية بالنسبة إلى المهاجمين، الأمر الذي يبرز ضرورة تثبيت أحد الحلول الأمنية الموثوقة، وأهمية تحديث البرنامج بصورة منتظمة.

وتمكن باحثو كاسبرسكي خلال الربع الثاني من العام الجاري 2023، من اكتشاف أكثر من 11,000 مستخدم تعرّض لهجمات استندت إلى ثغرة أمنية قديمة في برامج “مايكروسوفت أوفيس”، والمعروفة بالرمز (CVE-2017-11882). وتسمح هذه الثغرة الأمنية للمهاجمين باستغلال أداة تحرير المعادلات في مستندات “مايكروسوفت أوفيس”، ليتمكنوا عن طريقها من تنفيذ تعليمات برمجية خبيثة على الجهاز المستهدف. وبهذه الطريقة، يستطيع المهاجمون تثبيت البرامج الخبيثة أو البرامج غير المرغوب فيها من دون علم المستخدم. وحتى يتمكن المهاجمون من استغلال الثغرة الأمنية، فإن كل ما يحتاجون إليه هو إرسال ملف خبيث إلى الضحية المحتملة، أو إنشاء موقع إلكتروني بنفس نوع الملف، ثم محاولة خداع الأشخاص لفتحه باستخدام تقنيات الهندسة الاجتماعية.

ورغم تحديد الثغرة الأمنية وتصحيحها منذ فترة طويلة، تم تسجيل زيادة بنسبة 483% في الربع الثاني من هذا العام في عمليات استغلالها لهذا الغرض مقارنة بالربع الأول من العام ذاته. ويشير هذا الاتجاه المثير للقلق إلى أن الثغرات القديمة قد تبقى وسيلة فعالة لمهاجمة أجهزة المستخدمين من الأفراد والبنى التحتية للمؤسسات.

وقال ألكسندر كوليسنيكوف، رئيس فريق محللي البرامج الضارة في كاسبرسكي: “بدأ المهاجمون بالفعل باستغلال هذه الثغرة من جديد، وقد يلجأون إلى تبني تقنيات تشويش جديدة لتفادي اكتشافهم. وعلى سبيل المثال، قد يحاولون إدخال أنواع جديدة من البيانات الخبيثة في مستندات “مايكروسوفت أوفيس”. ومع ذلك، يمكن الاعتماد على الحلول الأمنية المصممة للكشف الشامل لمنع مثل هذه الهجمات وتوفير الحماية للمستخدمين. وهنا تبرز أيضاً أهمية تثبيت تحديثات البرامج والتصحيحات في الوقت المحدد”.

الثغرات المكتشفة وعدد المستخدمين الذين تمت مهاجمتهم خلال الربع الثاني 2023

واستمر الاتجاه خلال هذه الفترة، كما واصل المهاجمون استغلال الثغرات القديمة في برامج مايكروسوفت والاعتماد عليها كأدوات أساسية في هجماتهم. وقاموا في أغلب الأحيان باستغلال الثغرة (CVE-2018-0802). وتعرض أكثر من 130,000 شخص لهجمات مماثلة. وفي العادة، يعتمد استغلال هذه الثغرة الأمنية على نفس النمط لثغرة (CVE-2017-11882) التي تم التطرق إليها سابقاً، حيث يتضمن إحداث تلف في الذاكرة، حتى يتمكن المهاجم من التحكم في النظام باستخدام ملف تم إنشاؤه خصيصاً لهذا الغرض.

وتم أيضاً إدراج ثلاث ثغرات أخرى، وهي CVE-2010-2568 و CVE-2017-0199 و CVE-2011-0105 على قائمة أكثر عمليات الاستغلال التي تم اكتشافها بصورة متكررة في الربع الثاني. وتتضمن الثغرة الأولى تنفيذ التعليمات البرمجية عبر ملف LNK يتم إعداده خصيصاً لهذه الغاية، بينما ترتبط الثغرتان الأخيرتان بمجموعة “مايكروسوفت أوفيس”.

وللحماية من التهديدات المتعلقة باستغلال الثغرات المختلفة، يوصي خبراء كاسبرسكي باتباع الإجراءات التالية:

تثبيت التصحيحات لمعالجة الثغرات الجديدة في أسرع وقت ممكن. وبمجرد تحميلها، لا يمكن للمهاجمين السيبرانيين استغلالها.

التحقق من الرابط قبل النقر. يطلب منك المرور فوق الرابط بالمؤشر لمعاينة عنوان URL والبحث عن الأخطاء الإملائية أو المخالفات الأخرى. وفي بعض الأحيان، تبدو رسائل البريد الإلكتروني والمواقع الإلكترونية الزائفة مطابقة تماماً للمواقع الحقيقية. ويعتمد ذلك على مستوى أداء المجرمين لهذه المهام. لكن يرجح أن تكون الروابط التشعبية غير صحيحة، لأنها قد تحتوي على أخطاء إملائية، أو تعيد توجيهك إلى مواقع مختلفة.

استخدم أحد الحلول لحماية نقاط النهاية وخوادم البريد الإلكتروني، لأنها تمتلك القدرة على مكافحة التصيد الاحتيالي، لتقليل فرصة الإصابة من خلال رسائل التصيد الاحتيالي الإلكترونية.

يطلب من الشركات تحسين استخدام أدوات الأمن السيبراني من خلال تنفيذ حلول الكشف والاستجابة الموسعة التي تجمع القراءات عن بُعد من مصادر البيانات المختلفة، بما في ذلك نقاط النهاية والشبكات والبيانات السحابية. وبهذه الطريقة يمكن الحصول على نظرة أمنية شاملة، فضلاً عن الكشف الفوري والاستجابة التلقائية للتهديدات الحالية.

الاعتماد على الخدمات وتوظيف الحلول المناسبة، ومنها Kaspersky Incident Response أو Kaspersky Endpoint Detection and Response Expert أو Kaspersky Managed Detection and Response، لأنها تساعد في تحديد الهجمات وإيقافها في المراحل المبكرة، قبل أن يتمكن مجرمو الإنترنت من تحقيق أهدافهم النهائية.