اكتشفت مجموعة بحثية ثغرة رقمية خطيرة في ويندوز وبرامج الأوفيس تسمح هذه الثغرة بتنفيذ عمليات برمجية عن طريق ملفات الأوفيس، تم إطلاق اسم فولينا/ Follina على هذه الثغرة من قبل الباحث في الأمن الرقمي كيفين بومنت. وتسمح هذه الثغرة للقراصنة بتنفيذ التعليمات البرمجية عن بُعد في أداة تشخيص الدعم من ويندوز Microsoft Windows Support Diagnostic Tool (MSDT)
تكمن خطورة هذه الثغرة أنه يتم استغلالها من قبل القراصنة ولا تتطلّب من المستخدمين تمكين وحدات الماكرو.
كيف يتم استغلال هذه الثغرة من قبل المهاجمين؟
يتم استغلال هذه الثغرة، من خلال إرسال ملف وورد/ DOC خبيث أو مزيف، وعند فتح الملف من قبل الجهة المستلمة يتمكن المهاجم من التحكم والسيطرة على جهاز الضحية، هذه الثغرة الأمنية تعزز وظائف Office لتنزيل ملف HTML ، والذي يستغل عدم قدرة MSDT على اكتشاف الثغرة ومتابعة العمل بشكل طبيعي والسماح للمهاجمين بتنفيذ الهجوم عن بعد على الأجهزة المخترقة.
على سبيل المثال بدل أن يتم سؤالك عن الطريقة التي تريد المتابعة بها ، قام المهاجمون بصياغة سلسلة من التعليمات التي لا تؤدي فقط إلى استمرار العملية تلقائياً (الخيارات / التخطي و / القوة) ، ولكن أيضًا لاستدعاء برنامج PowerShell النصي على طول الطريق.
والأسوأ من ذلك ، أنه ليس من الضروري أن يكون برنامج PowerShell النصي موجوداً في ملف على القرص بالفعل – يمكن توفيره في شكل رمز من مصدر مختلط مباشرة في سطر الأوامر نفسه ، إلى جانب جميع الخيارات الأخرى المستخدمة.
ونشر الباحث لقطة شاشة لبعض التعليمات البرمجية المبهمة التي استخدمها الملف الخبيث، وقال بومونت إن الكود عبارة عن سلسلة سطر أوامر يمكن تنفيذها بواسطة Microsoft Word من خلال MSDT ، حتى لو لم يتم تمكين وحدات الماكرو. والأمر الخطير والذي يجب الحذر منه أنه بمجرد فتح مستند خبيث يمكن أن ينقل برامج ضارة إلى جهاز الكمبيوتر الخاص بك دون أن تدرك ذلك.
كيف يمكن أن أحمي نفسي؟
ريثما يتم إصلاح الثغرة بشكل دائم من قبل مايكروسوفت Microsoft . يجب توخي الحذر وعدم تحميل وتشغيل برامج الأوفيس مثل Doc من مصادر مجهولة. والحرص على تحديث برامجنا ووجود برنامج مكافحة فيروسات مفعل دائماً ومحدّث
قدمت Microsoft خطوات للحد من خطورة هذه الثغرة بشكل مؤقت وذلك بتعطيل بروتوكول MSDT URL. ومع ذلك، يجب على المستخدمين المتابعة بحذر حيث قد يسبب هذا الإجراء تعارضات ومشاكل في بعض التطبيقات
لتعطيل MSDT:
– تشغيل برنامج موجه الأوامر Command Prompt كمسؤول Administrator
– لنسخ مفتاح التسجيل احتياطياً عن طريق تنفيذ التعليمة: reg export HKEY_CLASSES_ROOT\ms-msdt filename
– ومن ثم تنفيذ التعليمة: reg delete HKEY_CLASSES_ROOT\ms-msdt /f
وفي حال تسبب هذا الإجراء بمشاكل يمكن التراجع عنه من خلال:
– تشغيل برنامج موجه الأوامر Command Prompt كمسؤول Administrator
– استعادة المفتاح الذي قمنا بنسخه احتياطياً وذلك من خلال التعليمة: reg import filename
المصدر
