صور جيتي
قال باحثون يوم الثلاثاء إن جهات تهديد نفذوا هجمات اليوم صفر التي استهدفت مستخدمي ويندوز بالبرامج الضارة لأكثر من عام قبل أن تقوم مايكروسوفت بإصلاح الثغرة الأمنية التي جعلت هذه الهجمات ممكنة.
تتسبب الثغرة الأمنية الموجودة في كل من نظامي التشغيل Windows 10 و11 في قيام الأجهزة بفتح متصفح Internet Explorer، وهو متصفح قديم أوقفت شركة Microsoft تشغيله في عام 2022 بعد أن جعلته قاعدة التعليمات البرمجية القديمة عرضة للاستغلال بشكل متزايد. بعد هذه الخطوة، جعلت شركة Windows من الصعب، إن لم يكن من المستحيل، فتح المتصفح، الذي تم تقديمه لأول مرة في منتصف التسعينيات، بالإجراءات العادية.
حيل قديمة و جديدة
يعود تاريخ الكود الخبيث الذي يستغل الثغرة الأمنية إلى يناير 2023 على الأقل وكان متداولًا حتى مايو من هذا العام، وفقًا للباحثين الذين اكتشفوا الثغرة الأمنية وأبلغوا عنها لشركة Microsoft. قامت الشركة بإصلاح الثغرة الأمنية، التي تم تتبعها باسم CVE-2024-CVE-38112، يوم الثلاثاء كجزء من برنامج إصدار التصحيح الشهري. الثغرة الأمنية، التي كانت موجودة في محرك MSHTML لنظام التشغيل Windows، تحمل تصنيف خطورة 7.0 من 10.
وقال الباحثون من شركة الأمن Check Point إن شفرة الهجوم نفذت “حيلًا جديدة (أو غير معروفة سابقًا) لإغراء مستخدمي Windows لتنفيذ التعليمات البرمجية عن بُعد”. وقد أضاف رابط يبدو أنه يفتح ملف PDF ملحقًا بـ .url إلى نهاية الملف، على سبيل المثال، Books_A0UJKO.pdf.url، الموجود في إحدى عينات التعليمات البرمجية الخبيثة.
عند عرض الملف في نظام Windows، أظهر الملف رمزًا يشير إلى أن الملف عبارة عن ملف PDF وليس ملف .url. تم تصميم مثل هذه الملفات لفتح تطبيق محدد في رابط.
تكبير / لقطة شاشة تعرض ملفًا باسم Books_A0UJKO.pdf. يشير رمز الملف إلى أنه ملف PDF.
نقطة تفتيش
قام رابط في الملف باستدعاء msedge.exe، وهو ملف يقوم بتشغيل Edge. ومع ذلك، تضمن الرابط خاصيتين – mhtml: و!x-usc: – وهي “خدعة قديمة” يستخدمها المجرمون منذ سنوات للتسبب في فتح Windows لتطبيقات مثل MS Word. كما تضمن رابطًا لموقع ويب ضار. عند النقر عليه، تم فتح ملف .url المتنكر في شكل ملف PDF، ليس في Edge، ولكن في Internet Explorer.
“ومن هناك (يتم فتح الموقع باستخدام IE)، يمكن للمهاجم القيام بالعديد من الأشياء السيئة لأن IE غير آمن وقديم”، كما كتب هايفي لي، الباحث في Check Point الذي اكتشف الثغرة الأمنية. “على سبيل المثال، إذا كان لدى المهاجم ثغرة يوم الصفر في IE – والتي يسهل العثور عليها مقارنة بـ Chrome/Edge – فيمكن للمهاجم مهاجمة الضحية للحصول على تنفيذ التعليمات البرمجية عن بُعد على الفور. ومع ذلك، في العينات التي حللناها، لم يستخدم الجناة أي ثغرة لتنفيذ التعليمات البرمجية عن بُعد في IE. بدلاً من ذلك، استخدموا خدعة أخرى في IE – والتي ربما لم تكن معروفة للجمهور من قبل – على حد علمنا – لخداع الضحية للحصول على تنفيذ التعليمات البرمجية عن بُعد”.
ثم يعرض برنامج Internet Explorer للمستخدم مربع حوار يسأله عما إذا كان يريد فتح الملف المتنكر في هيئة ملف PDF. وإذا نقر المستخدم على “فتح”، يعرض Windows مربع حوار ثانٍ يعرض إشعارًا غامضًا بأن المتابعة ستؤدي إلى فتح المحتوى على جهاز Windows. وإذا نقر المستخدم على “السماح”، فسيقوم برنامج Internet Explorer بتحميل ملف ينتهي بـ .hta، وهو الامتداد الذي يجعل Windows يفتح الملف في Internet Explorer ويشغل التعليمات البرمجية المضمنة.
تكبير / لقطة شاشة تُظهر نافذة IE مفتوحة ومربع الحوار الذي تم إنشاؤه بواسطة IE والذي يطلب فتح ملف Books_A0UJKO.pdf.
نقطة تفتيش
تكبير / لقطة شاشة لمربع أمان IE يسأل إذا كان المستخدم يريد “فتح محتوى الويب” باستخدام IE.
نقطة تفتيش
“ولتلخيص الهجمات من منظور الاستغلال: التقنية الأولى المستخدمة في هذه الحملات هي خدعة “”mhtml””، والتي تسمح للمهاجم باستدعاء IE بدلاً من Chrome/Edge الأكثر أمانًا،”” كتب لي. “التقنية الثانية هي خدعة IE لجعل الضحية يعتقد أنه يفتح ملف PDF، بينما في الواقع، يقوم بتنزيل وتنفيذ تطبيق .hta خطير. الهدف العام لهذه الهجمات هو جعل الضحايا يعتقدون أنهم يفتحون ملف PDF، ويتم ذلك باستخدام هاتين الخدعتين.”
تتضمن مشاركة Check Point تجزئات تشفيرية لستة ملفات .url ضارة مستخدمة في الحملة. يمكن لمستخدمي Windows استخدام التجزئات للتحقق مما إذا كانوا مستهدفين.
