تم التحديث في 1:15 مساءً بالتوقيت الشرقي الخميس (نوفمبر. 7) بمعلومات حول الاستغلال المستخدم في حملات برامج ضارة محددة.

تحذر Microsoft مستخدمي Windows من اكتشاف ثغرة أخرى في يوم الصفر في البرية ، هذا واحد يؤثر على Windows Vista والإصدارات الأقدم من Microsoft Office وبعض إصدارات Microsoft Lync Instant رسول.

The Zero-Day - برنامج ضار يستغل ثغرة أمنية غير معروفة سابقًا ، مما يمنح المستخدمين صفرًا من الأيام الاستعداد - يستغل عيبًا في طريقة Microsoft Office 2003 و 2007 و 2010 ، بالإضافة إلى Lync و Vista ، في التعامل مع صورة تنسيق ملف الصور ذي العلامات (TIFF) الملفات.

كتب داستن سي ، مدير مجموعة الحوسبة الموثوقة من Microsoft: "نحن على دراية بالهجمات المستهدفة ، إلى حد كبير في الشرق الأوسط وجنوب آسيا". تشايلدز في أ النشر الرسمي لمدونة Microsoft Security Response Center في وقت سابق من هذا الأسبوع. "يتنكر الهجوم كرسالة بريد إلكتروني تطلب من الأهداف المحتملة فتح مرفق Word مصنوع خصيصًا."

أ ثغرة يوم الصفر منفصلة، التي تستهدف Internet Explorer ، ظهرت في منتصف سبتمبر في شرق آسيا.

أكثر: 5 برامج أمان مجانية للكمبيوتر الشخصي تستحق التنزيل

من هو في خطر من مكتب يوم الصفر

جميع الإصدارات المدعومة حاليًا من Microsoft Windows - XP و Vista و 7 و 8 و RT ، بالإضافة إلى متغيرات الخادم المقابلة - تكون عرضة لهذا الاستغلال إذا كانوا يشغلون Office 2003 أو 2007.

نظرًا للطريقة التي يتعامل بها Office 2010 مع TIFFs ، فإن الخلل في هذا الإصدار من Office يؤثر فقط ويندوز إكس بي، وليس Vista أو الإصدارات الأحدث.

لسوء الحظ ، فإن نظام التشغيل Windows Vista نفسه عرضة لاستغلال يوم الصفر ، مع وجود Office أو بدونه. (تعتبر الإصدارات الأخرى من Windows آمنة بدون تثبيت الإصدارات المتأثرة من Office أو Lync.)

تتأثر إصدارات عديدة من Lync ، برنامج المراسلة الفورية الخاص بالمؤسسات من Microsoft ، بشكل عام أنظمة Windows الأساسية لجميع بنى المعالجات - Microsoft Lync 2010 و 2010 Attendee و 2013 و Basic 2013.

لا تتأثر إصدارات Mac من Microsoft Office و Lync. كما أن مستخدمي برنامج لينك السابق ، Microsoft Communicator ، أو برنامج المراسلة الفورية للمستهلكين من Microsoft ، MSN Messenger ، Windows Live Messenger و Skype messenger الفوري.

كيف يقوم مكتب يوم الصفر بالهجوم

يستخدم استغلال اليوم صفر مستندات Word مفخخة مرفقة برسائل البريد الإلكتروني المرسلة إلى أهداف محددة. مستشار أمان رسمي من Microsoft يقول أنه يمكن نظريًا إرسال المستندات المصابة عبر خدمات مشاركة الملفات ، وأنه يمكن أيضًا إخفاء الاستغلال في صفحات الويب لتشغيل التنزيلات من محرك الأقراص.

في الحالة الأخيرة ، قد تؤدي الروابط المختصرة من خدمات الرسائل الفورية أو الشبكات الاجتماعية مثل Facebook أو Twitter إلى توجيه الأهداف إلى صفحات الويب المصابة.

في جميع الحالات ، سيكون المستخدمون الذين قاموا بتسجيل الدخول بامتيازات محدودة ، والتي تمنع تثبيت البرنامج أو تعديله ، أقل تأثراً. إذا أصابت البرامج الضارة هؤلاء المستخدمين ، فلن تتمكن من فعل الكثير.

تعد شركة Microsoft الاستشارية بأن الشركة "ستتخذ الإجراء المناسب للمساعدة في حماية عملائنا" ، والتي "قد تشملها توفير تحديث أمني من خلال عملية الإصدار الشهرية لدينا ، أو توفير تحديث أمان خارج الدورة ، اعتمادًا على العميل يحتاج. "

كيفية منع مكتب يوم الصفر

حتى ذلك الحين ، سيتعين على مستخدمي البرامج المتأثرة اتخاذ بعض الخطوات المعقدة نوعًا ما لمنع هذا الاستغلال.

إن أبسط طريقة هي تثبيت "Fix-it" الذي أنشأته Microsoft ، والمتاح من صفحة Microsoft خاصة. يقوم بضبط سجل Windows لمنع عرض ملفات TIFF.

بدلاً من ذلك ، يمكن للمستخدمين المهرة الذين اعتادوا تغيير السجل يدويًا إضافة هذا السطر:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftGdiplusDisableTIFFCodec = 1

يجب ألا يحاول معظم المستخدمين القيام بذلك ، حيث يمكن لشخصية خاطئة أن تفسد جهاز الكمبيوتر بشكل خطير.

يمكن للمستخدمين الذين لا يرغبون في حظر عرض TIFF تثبيت وتهيئة برنامج Microsoft المحسن للتخفيف مجموعة أدوات الخبرة (EMET) ، والتي تتيح ضبط خيارات الأمان بدقة لكل جانب من جوانب Windows تقريبًا النظام.

في هذه الحالة ، يجب تعديل EMET بحيث يتم تمكين أي من ميزات مكافحة البرامج الضارة التالية لـ Office: Caller أو EAF أو HeapSpray أو MandatoryASLR أو MemProt أو SimExec أو StackPointer. (ليس من الواضح ما إذا كان هذا سيؤدي إلى منع الاستغلال من التأثير على Lync.)

بالإضافة إلى ذلك ، فإن تمكين طريقة العرض المحمية أو حظر عناصر تحكم ActiveX في Office سيجعل من الصعب ، إن لم يكن من المستحيل ، على البرامج الضارة مهاجمة Office. (تم تشغيل طريقة العرض المحمية في Office 2010 بشكل افتراضي.)

متطور وخفي

يستخدم الاستغلال حيلًا متطورة - "رذاذ كومة" للذاكرة النشطة باستخدام البرمجة النصية لبرنامج ActiveX من Microsoft - لتفادي حواجز مكافحة البرامج الضارة مثل العشوائية تخطيط مساحة العنوان (ASLR) ومنع تنفيذ البيانات (DEP). تم رصده لأول مرة في البرية في عيد الهالوين (أكتوبر. 31) بواسطة باحثي الأمن McAfee.

كتب الباحث في McAfee Haifei Li: "هذا الرش في Office عبر كائنات ActiveX هو خدعة استغلال جديدة لم نرها من قبل". نشر مدونة الشركة الثلاثاء (نوفمبر. 5). "في السابق ، كان المهاجمون عادةً يختارون Flash Player لنشر الذاكرة في Office."

كتب لي: "نعتقد أن الخدعة الجديدة قد تم تطويرها في الخلفية التي قدمتها Adobe لميزة النقر للتشغيل في Flash Player قبل أشهر ، والتي أدت بشكل أساسي إلى القضاء على الميزة القديمة". "هذا دليل آخر على أن أسلوب الهجوم يحاول دائمًا التطور عندما لا تعمل الأساليب القديمة بعد الآن."

تحديث: في وقت لاحق يوم الأربعاء ، شركات الأمن عين النار و سيمانتيك كشف أن استغلال يوم الصفر الجديد الخاص بـ Office تم استخدامه من قبل مجموعتين راسختين من المتسللين ، وكلاهما نشط في جنوب آسيا.

مجموعة واحدة تدير حملة تجسس عملية Hangoverالتي تم الكشف عنها لأول مرة في ربيع عام 2013 ويبدو أنها نشأت في الهند وتستهدف باكستان.

وجد كل من FireEye و Symantec روابط إلى طاقم Hangover في مرفقات بريد إلكتروني ضارة تحمل ملف مكتب يوم الصفر ، والذي يشير تحليل FireEye إلى أنه بدأ استخدامه من قبل طاقم Hangover الشهر الماضي فقط.

وجدت FireEye أيضًا أن مكتب يوم الصفر يتم استخدامه من قبل طاقم إجرامي ، والذي تسميه FireEye مجموعة Ark ، لنشر حصن طروادة المصرفية Citadel. بدأت مجموعة Ark في استخدام خطأ Office منذ حوالي شهر وتستهدف بشكل أساسي عملاء الخدمات المصرفية عبر الإنترنت في الهند وباكستان.

قال باحثو FireEye إن طاقم Ark قد حسّن بالفعل هجوم استغلال Office قليلاً ، باستخدام "a نهج أكثر ذكاءً قليلاً لرش نفس القدر من الذاكرة باستخدام عدد أقل من الكائنات في استغلالهم وثيقة ".

اتبع Paul Wagenseil في تضمين التغريدة. اتبع دليل توم على تضمين التغريدة، على موقع التواصل الاجتماعي الفيسبوك و على Google+.

  • برنامج مكافحة الفيروسات المجاني: الأفضل لعام 2013
  • 7 ميزات تقنية لا يريدها أحد
  • أفضل 10 أجنحة لأمن الإنترنت للشركات الصغيرة