كيف يستغل المتسللون مستندات Microsoft Word لاختراق Windows

يعني الاستغلال الجديد السيئ أن مجرد فتح مستند Word تم اختراقه يمكن أن يتسبب في أضرار جسيمة لنظامك.

 كيف يستغل المتسللون مستندات Microsoft Word لاختراق Windows

خلل تم اكتشافه مؤخرًا في محرك مستعرض MSHTML الخاص بشركة Microsoft يمنح المتسللين تنفيذ التعليمات البرمجية عن بُعد في جميع إصدارات Windows. يستخدم المهاجمون مستندات Word المعدة خصيصًا لاستغلال خطأ اليوم صفر. لسوء الحظ ، يتم استخدام MSHTML أيضًا في العديد من منتجات Microsoft ، بما في ذلك Skype و Visual Studio و Microsoft Outlook ، وبالتالي فإن المشكلة منتشرة على نطاق واسع.

على هذا النحو ، دعنا نستكشف كيف يعمل الاستغلال وكيف تحمي نفسك منه.

كيف يعمل برنامج إكسبلويت مايكروسوفت وورد Zero-Day Exploit؟

يبدأ الهجوم عندما يتم خداع المستخدمين لفتح مستند Word مسلح. سيحتوي هذا المستند على عنصر تحكم ActiveX مصمم خصيصًا للتعامل مع محرك MSHTML. عند التحميل بنجاح ، يمكن للقراصنة استخدام عنصر تحكم ActiveX هذا لتشغيل التعليمات البرمجية عن بُعد على الجهاز المخترق.

تتعقب Microsoft هذا الخطأ كـ CVE-2021-40444 وقد منحتها درجة CVSS تبلغ 8.8. إنه يجعل خطأ MSHTML مشكلة عالية التأثير مع احتمال التسبب في أضرار جسيمة.

كيفية التخفيف من هجوم MSHTML

يمكن للمستخدمين منع هجوم MSHTML من خلال عدم فتح مستندات Word غير موثوق بها. حتى إذا نقرت عن طريق الخطأ على مثل هذه المستندات ، فمن المحتمل أن يؤدي تشغيل Office باستخدام التكوينات الافتراضية إلى حمايتك من هجوم Zero-Day الأخير المرتبط بـ Microsoft .

بشكل افتراضي ، يفتح Office المستندات التي تم تنزيلها من الإنترنت في طريقة العرض المحمية أو حارس التطبيق لـ Office. تمنع هذه الميزة الملفات غير الموثوق بها من الوصول إلى موارد النظام الهامة ، لذلك من المحتمل أن تكون آمنًا.

ومع ذلك ، فإن المستخدمين الذين يعملون بامتيازات المسؤول معرضون لخطر كبير من هجوم MSHTML. نظرًا لعدم توفر تصحيح عمل الآن ، نوصي بفتح مستندات Office كمستخدم قياسي فقط ، حيث يمكن أن توفر لك طريقة العرض المحمية. قالت Microsoft أيضًا أن تعطيل عنصر تحكم ActiveX يمكن أن يمنع هذا الهجوم.

كيفية تعطيل عنصر تحكم ActiveX

لتعطيل عنصر تحكم ActiveX ، افتح محرر نصوص وأنشئ ملفًا باسم disable-activex.reg . يمكنك استدعاء هذا الملف بأي شيء طالما أن الامتداد .reg موجود. الآن ، الصق ما يلي في الملف واحفظه.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

انقر نقرًا مزدوجًا فوق الملف وانقر فوق نعم عندما يطلب منك Windows. أعد تشغيل الكمبيوتر بمجرد الانتهاء ، وسيقوم Windows بتطبيق التكوينات الجديدة.

احذر من مستندات Word غير الموثوق بها

لم تصدر Microsoft بعد تصحيحات رسمية لاستغلال MSHTML. لذا ، فإن عدم النقر فوق المستندات التي تم تنزيلها من الإنترنت هو أفضل رهان لك إذا كنت تريد البقاء آمنًا. لحسن الحظ ، يمكن لـ Defender اكتشاف هذا الهجوم ومنعه من تعريض نظامك للخطر. لذا تأكد من تشغيل Microsoft Defender وتمكين الحماية في الوقت الفعلي.