تمنح المهاجمين تحكماً كاملاً في حاسباتهم

«مايكروسوفت» تحذّر 500 مليون مستخدم من ثغرة في «وين رار»

الثغرة تؤثر في جميع إصدارات «وين رار» التي ظهرت خلال الـ 19 عاماً الماضية. من المصدر

حذّرت شركة «مايكروسوفت» مستخدمي أنظمة تشغيل «ويندوز» في العالم من وجود ثغرة أمنية خطرة في برنامج ضغط وفك الملفات الشهير «وين رار»، الذي يقدر عدد مستخدميه بـ500 مليون، موضحة أنه يمكن للمهاجمين استغلال الثغرة الجديدة في نشر برمجيات وملفات ضارة على حسابات المستخدمين، تمكنهم من التحكم التام في الحاسب، كما لو كانوا في وضعية «مدير النظام» بصلاحياته الكاملة.

وذكرت «مايكروسوفت»، في بيان أصدرته أخيراً، أن تلك النتائج تم التوصل إليها بعد تحليل تفصيلي للهجوم الذي وقع الشهر الماضي على العديد من الحاسبات العاملة بنظم تشغيل «ويندوز» في قطاعات الأقمار الاصطناعية والاتصالات، وجرى تنفيذه بتقنيات «غير عادية ومثيرة للاهتمام»، على حد وصف الشركة.

500 مليون مستخدم

ووفقاً لتقرير لشبكة «زد دي نت» المتخصصة في تقنية المعلومات حول الواقعة، فإنه لايزال من المحتمل أن جزءاً كبيراً من مستخدمي برنامج «وين رار»، لم يقوموا بالتحديث للإصدار الذي لا يحتوي على ملف «إيه سي إف»، أو لم يزيلوا مكتبة الارتباط الديناميكي الضعيفة «يو إن إيه سي إي في دوت دي إل إل».

ونقل التقرير عن باحث في شركة «تشيك بوينت» لأمن المعلومات أن الثغرة تؤثر في جميع إصدارات «وين رار» التي ظهرت خلال الـ19 عاماً الماضية، ولذلك تم عرض المعلومات الخاصة بهذه الثغرة للبيع مقابل 100 ألف دولار، لأن هذا البرنامج يتم تثبيته تقريباً على جميع أجهزة الحاسب بالشركات والمنازل، ما يجعله مثالياً للمهاجمين.

رسائل مزيفة

وجرى الكشف عن تفاصيل الثغرة الأمنية بواسطة عضو فريق الأبحاث الأمني التابع لقسم «أوفيس 365 إيه تي بي» في «مايكروسوفت»، ريكس بلانتادو، الذي بيّن أن بداية الهجوم كانت عمليات تصيد احتيالي برسائل بريد إلكتروني مزيفة، بثتها مجموعة «مودي واتر»، التي ظهرت بمنطقة الشرق الأوسط عام 2017، واستهدفت مستخدمين في المنطقة، إضافة إلى أوروبا وأميركا، مشيراً إلى أن رسائل التصيد الاحتيالي الخاصة بالمجموعة وصلت على أنها رسائل تتضمن أدوات تأمين صادرة من حكومات ومؤسسات رسمية، وتم تصميم الرسائل وفق أسلوب الهندسة الاجتماعية، لضمان التحكم الكامل عن بعد في الأجهزة الضحية.

وأضاف بلانتادو، أنه تبين من التحليلات أن الثغرة التي تم من خلالها تنفيذ هذه الهجمات تكمن في ملف يحمل اسم «إيه سي إف»، موجود في برنامج ضغط وفك الملفات «وين رار»، وجرى تعريفه أمنياً على أنه ثغرة «سي في إي - 2018 - 20250»، وتم استخدامها على نطاق واسع بين مجموعات مجرمي الإنترنت، وعلى رأسهم مجموعة «ويندي وانر»، فضلاً عن المجموعات المرتبطة بأجهزة ومؤسسات تابعة لبعض الدول التي تشن ما يعرف بالهجمات المدعومة من الدولة.

سيناريو الهجوم

وأوضح بلانتادو أن عملية الخداع والاحتيال تمت بإرسال رسالة بريد إلكتروني مرفق بها ملف «وورد» اعتيادي لا يثير الريبة، يتحدث عن أدوات تأمين في سطور قليلة، بينها رابط نشط، يطلب من المستخدم استعماله لتنزيل ملف أو وثيقة أخرى مضغوطة ببرنامج «وين رار» من خدمة تخزين «وان درايف».

وأشار إلى أن المهاجمين تعمدوا عدم تضمين الملف أو الوثيقة أي «وحدات ماكرو» من النوع المستخدم في نقل الفيروسات وملفات التجسس والتلصص والبرمجيات الخبيثة وغيرها، وذلك حتى لا يمكن كشفها بواسطة برامج التأمين والمكافحة، مبيناً أنه إذا قام الشخص الضحية بالضغط على هذا الرابط، يتم على الفور تنزيل ملف من أرشيف «وان درايف» مع مستند «وورد» ثان، يحتوي على وحدة «ماكرو» ضارة، بينما إذا تجاهل تحذير الأمان حول وحدات الـ«ماكرو»، يتم تنزيل حمولة البرامج الضارة إلى جهازه.

وتابع بلانتادو أنه عند فك الضغط، يتم تمكين وحدة الـ«ماكرو» الضارة، كما يظهر مفتاح يحمل اسم «الصفحة التالية»، وهو مفتاح يعرض تحذيراً زائفاً، ومهمته الفعلية إزالة أحد ملفات «دي إل إل»، ما يجعل الحاسب يبدو وكأنه يحتاج إلى إعادة التشغيل. ولفت إلى أنه بمجرد تمكين الـ«ماكرو»، يقوم برنامج نصي يعرف باسم «باور شيل» بجمع معلومات حول النظام، ويقوم بتعريفه بكود تعريف فريد لا يتكرر، ويرسل كود التعريف عليه بمعرف فريد، وإرساله إلى خادم بعيد، وفي الوقت نفسه يعمل برنامج «باور شيل» كآلية رئيسة لجلب ملف «إيه سي إي» الضار، ثم يستغل ثغرة «سي إي في – 2018 – 202050» لتنزيل حمولة البرامج الخبيثة الأساسية التي تستخدم في السيطرة التامة على الحاسب.

باب خلفي

وبحسب، بلانتادو، فإن البرنامج النصي «باور شيل» يجعل الحاسب ينفذ الإجراءات النافعة والمفيدة بالطريقة نفسها التي يعمل بها مكون الـ«ماكرو» الضار، ما يوهم المستخدم بأنه لا شيء غريباً يحدث، وبالتالي يستطيع المهاجم أن يصنع باباً خلفياً يجعله نقطة انطلاق للقيام بمزيد من الأعمال الضارة.

ووصف بلانتادو التكتيك المستخدم في الهجوم بأنه تكتيك «العيش خارج الأرض»، أو شن الهجمة دون المساس بوحدة التخزين الرئيسة.


نقطة ضعف

أفادت شركة «تشيك بوينت» المتخصصة في أمن المعلومات، خلال فبراير الماضي، بأن الإصدار الجديد من برنامج «وين رار» يحتوي على نقطة ضعف كبيرة، مكانها ملف «إيه سي إي»، الذي تبين أنه غير قادر على تحديث إحدى المكتبات البرمجية الموجودة في البرنامج يطلق عليها «الارتباط الديناميكي».

طباعة