قراصنة يقومون ب استغلال ثغرة في ميكروسوفت أوفيس (CVE-2017-11882)

0
اختراق انظمة الوندوز 

في الاونة الاخيرة التي تم نشر الثغرة الجديدة التي كانت في ميكروسوفت أوفيس و التي تتيح للقراصنة ب تثبيت برامج خبيثة على الاجهزة المتضررة و هاذا دون تفاعل من المستخدم (الضحية) ;و تم رصد الهجوم ل اول مرة من طرف  الباحثون في شركة Fortinet الأمنية, و تم اطلاق اسم Cobalt على الثغرة الجديدة و يتم استغلال الثغرة ب واسطة الادات الشهيرة ل اختراق الاجهزة  Cobalt Strike.
ادات  Cobalt Strike من اشهر الادوات في اختراق الاجهزة و تم تطويرها ل Red Team Operations وAdversary Simulations لاستغلال الثغرات على مختلف انضمة التشغيل .

اختراق اجهزة الوندوز 


تصنيف الثغرة (CVE-2017-11882) تقوم على : بمجرد فتح الضحية ل الملف الذي تم تلغيمه ب لمف ضار سيتم اختراق الجهاز مباشرة.
تؤثر هذه الثغرة  على كافة إصدارات نظام التشغيل ميكروسوفت أوفيس و ويندوز،ويجدر ب الذكر ان مايكروسوفت قامت ب عمل تحديثجديد و معالحجة الثغرة الامنية في تحديث جديد.

و يبدو ان القراصنة حول العالم سرعون جدا في استغلال الثغرات ف منذ ان تم الافصاح على الثغرة بدا القراصنة ب استغلاللها هنا و هناك ب استخدام رسال السبام . 
وفقا ل الباحثين في Fortinet ف ان استغلال Cobalt يتم من خلال رسائل البريد الالكتروني و التي تتنكر في شكل اشعار من فيزا في روسيا مع ملف  RTF و يحتوي الملف على ملف ضار (ملغم).

و الشيء الملفت ل الانتباء هو ان الملف يحتوي على كلمة مرور ل فتحه و يعتقد المستخدمون انه من الشركة نفسها و انها شيء عادي و لكن هاذا لخداع المستخدمين لا اكثر .
و ايضا تم وضع كلمة سر على الملف الضار ل منع  أنظمة التحليل الآلي من كشف الملفات الخبيثة .

بعد فتح الملف الخبيث من طرف الضحية يجد عبارة “Enable Editing.” و مع هاذا  يتم تنفذ التعليمات البرمجية في جهاز الضحية في الخلفية دون ان يشعر ب اي شيء عن طرق PowerShell و يتم اختراق الاجهزة ب اداة  Cobalt Strike.
بعد ان يقوم القراصنة ب اختراق اجهزة الضحايا يقومون ب تنفيذ مجموعة واسعة من الاوامر .
وفقا للباحثين في مجال الامنر المعلومات ف ان القراصنة دائما ما يبحثون على مثل هذه الثغرات  ل يقومو ب استغلالها في اشياء غير قانونية .
أفضل طريقة لحماية جهاز الكمبيوتر الخاص بك ضد هجوم Cobalt  هو تحميل التحديث الجديد ل ثغرة   CVE-2017-11882.

Leave A Reply

Your email address will not be published.