محبوبیت آسیب‌پذیری‌های روزصفر مایکروسافت در بین هکرها

وجود نقص امنیتی در موتور MSHTML مایکروسافت به هکرها اجازه می‌دهد از اسناد مخرب آفیس برای نصب بدافزار استفاده کنند. این حمله در حال حاضر بخش‌های انرژی، صنعتی، بانکی، فناوری پزشکی و سایر بخش‌ها را هدف قرار داده است. این آسیب‌پذیری در سراسر جهان یافت شده و به گفته‌ی کسپرسکی: "انتظار می‌رود شمار حملات با استفاده از این آسیب‌پذیری افزایش یابد."

MSHTML یک موتور چیدمان است که توسط شرکت مایکروسافت توسعه داده شده و در اینترنت اکسپلورر استفاده می‌شود و در تمام نسخه‌های فعلی ویندوز از کامپیوترهای شخصی تا سرورها وجود دارد. به عبارت دیگر، این آسیب‌پذیری هر کاربری با سیستم ویندوزی را تحت تأثیر قرار می‌دهد و این یعنی تهدید کاملاً جدی است.
و بدتر از آن، این است که مهاجم به سادگی می‌تواند از این آسیب‌پذیری (با شناسه‌ی (CVE-2021-40444 سوءاستفاده کند: تمام کاری که مهاجم باید انجام دهد این است که یک سند مایکروسافت آفیس را که حاوی اسکریپت مخرب است برای قربانی موردنظر ارسال کند. مانند بسیاری از حملات دیگر که با استفاده از اسناد مخرب صورت می‌گیرند، قربانی باید سند را باز کند تا دستگاهش با پی‌لود مهاجم آلوده شود. این پی‌لود توسط اسکریپت موجود در سند بازیابی می‌شود. به محض دانلود، به گفته‌ی کسپرسکی اکثر آن‌ها از کنترل‌های ActiveX برای انجام اقدامات مخرب بیشتر استفاده می‌کنند. کسپرسکی می‌گوید در اکثر حملات شناسایی شده تا کنون، مهاجمان یک سری درب‌های پشتی بر روی سیستم قربانی نصب می‌کنند تا دسترسی بیشتری به دستگاه آلوده‌ی وی داشته باشند.
به گفته‌ی کسپرسکی، این نوع حملات در سراسر جهان شناسایی شده‌اند و لیست کوچکی از اهداف محبوب وجود دارد که کسی از حمله سایبری به این صنایع شگفت‌زده نمی‌شود. تحقیق و توسعه، انرژی، صنایع بزرگ، بانکداری، فناوری پزشکی، مخابرات و IT همگی به عنوان متداول‌ترین هدف برای این حملات شناخته می‌شوند.

چگونه طعمه‌ی حمله‌ی MSHTML نشویم؟
خوشبختانه برای اکثر کاربران ویندوز، با پیروی از برخی توصیه‌های امنیتی امکان جلوگیری از این حمله وجود دارد. به عنوان نمونه می‌توان به باز نکردن اسناد از منابع ناشناخته، مشکوک بودن به پیوست‌های با نام و یا نوع غیرمعمول و نوع پیام‌هایی که به همراه پیوست‌هایی از منابع شناخته شده دریافت می‌شود اشاره نمود. علاوه بر این، مایکروسافت اظهار داشت کاربرانی که دسترسی ادمین بر روی دستگاه ندارند کمتر تحت تأثیر قرار می‌گیرند. بنابراین تیم‌های فناوری اطلاعات باید بر روی افرادی که دارای دسترسی ادمین هستند و یا یک کاربر قدرتمند دارند برای نصب‌ وصله‌ها و یا انجام اقدامت کاهشی بیشتر متمرکز باشند.

توصیه امنیتی
مایکروسافت به منظور رفع آسیب‌پذیری مذکور، به‌روزرسانی‌های امنیتی منتشر نموده و به دلیل سهولت، ماهیت گسترده و خسارت بالقوه ناشی از این نقص، از کابران می‌خواهد تا سیستم‌های تحت تأثیر (یعنی هر چیزی که در حال اجرای ویندوز است!) را هر چه سریع‌تر به‌روزرسانی کنند. در صورتی که امکان به‌روزرسانی سیستم‌های ویندوزی وجود نداشته باشد، اقدامات کاهشی زیر پیشنهاد می‌گردد:
•    غیرفعال کردن ActiveX از طریق group policy
•    غیرفعال کردن ActiveX از طریق یک کلید رجیستری مرسوم
•    غیرفعال کردن صفحه نمایش ویرایش رجیستری
این اقدامات از اجرای اسکریپت‌ها بدون باز کردن کامل یک سند جلوگیری می‌کنند.

منبع خبر: https://www.techrepublic.com/article/recently-reported-microsoft-zero-day-gaining-popularity-with-attackers-kaspersky-says