هشدار مایکروسافت به کاربران Windows درخصوص یک آسیب‌پذیری روز صفر

مایکروسافت (Microsoft Corp) در اطلاعیه‌ای که در تاریخ 16 شهریور منتشر شده به تعدادی حملات اشاره نموده که به واسطه سوءاستفاده از آسیب‌پذیری موجود در MSHTML بر سیستم‌عامل Windows تأثیر می‌گذارند. این ضعف امنیتی به شناسه CVE-2021-40444 از نوع “روز-صفر” و دارای درجه اهمیت “مهم” (Important) می‌باشد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات این آسیب‌پذیری و راهکار ارائه شده توسط مایکروسافت مورد بررسی قرار گرفته است.

MSHTML که با نام Trident نیز شناخته می‌شود، یک مولفه نرم‌افزاری است که توسط مایکروسافت برای برنامه‌های بی‌شماری در Windows از جمله مرورگرها (Browser) توسعه یافته است.

Trident در ابتدا با انتشار Internet Explorer 4 در سال 1997 مورد استفاده قرار گرفت. جهت بهبود انطباق با استانداردهای وب و اضافه کردن پشتیبانی از فناوری‌های جدید در نسخه‌های بعدی مرورگر، تغییرات قابل توجهی در آن ایجاد شد. اگرچه Trident بیشتر با Internet Explorer مرتبط است، اما در سایر نرم‌افزارها از جمله نسخه‌های Skype، Microsoft Outlook، Visual Studio نیز استفاده می‌شود. اگر تا به حال برنامه‌ای را باز کرده‌اید که ظاهراً به صورت “جادویی” تنظیمات پروکسی شما را می‌داند، به احتمال زیاد به این دلیل است که در آن از MSHTML استفاده شده است.

به گزارش مایکروسافت، مهاجم می‌تواند از ضعف امنیتی موجود در MSHTML برای “اجرای کد به صورت از راه دور” در نسخه‌های مختلف سیستم‌عامل Windows سوءاستفاده کند. مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال نموده و کاربر را متقاعد می‌کند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML، سوءاستفاده می‌کند.

در صورتی که سطح دسترسی کاربر بر روی دستگاه Administrator نباشد، اثرات مخرب سوءاستفاده از این آسیب‌پذیری به مراتب بسیار کمتر خواهد بود.

مایکروسافت در این اطلاعیه راهکار موقتی برای مقاوم‌سازی این آسیب‌‍‌پذیری ارائه کرده است. آسیب‌پذیری‌هایی از این قبیل احتمالاً برای مدت‌های طولانی مورد سوءاستفاده مهاجمان قرار می‌گیرند. خوشبختانه سوءاستفاده از این آسیب‌پذیری نیاز به تعامل و دخالت کاربر دارد. در عین حال اعمال راهکار پیشنهادی مایکروسافت بر روی تمامی دستگاه‌ها زمان‌بر خواهد بود. این بدان معناست که مهاجمان فرصت کافی برای بهره‌جویی از این ضعف امنیتی خواهند داشت.

مایکروسافت در ادامه عنوان نموده است که پس از پایان تحقیقات، به‌روزرسانی امنیتی را در مجموعه اصلاحیه‌های ماه سپتامبر که سه‌شنبه 23 شهریور منتشر می‌شود یا در یک به‌روزرسانی امنیتی جداگانه، ارائه خواهد نمود.

نرم‌افزار Office به صورت پیش‌فرض، اسناد را در اینترنت به صورت Protected View یا Application Guard for Office باز می‌کند که هر دو از اجرای حملات فعلی نیز جلوگیری می‌کنند. ولیکن، به منظور کاهش اثرات مخرب این ضعف امنیتی، مایکروسافت پیشنهاد کرده که نصب کنترل‌های ActiveX در مرورگر غیرفعال شود.

جهت اعمال این راهکار موقت امنیتی، بایستی تغییراتی در رجیستری اعمال شود تا نصب کنترل‌های ActiveX غیرفعال شود. با اعمال این راهکار، کنترل‌های ActiveX که قبلاً نصب شده همچنان اجرا می‌شوند، اما از این به بعد با تغییرات مذکور در ریجستری، کنترل‌های ActiveX جدید قابل نصب نخواهند بود. اگر تنظیمات Registry Editor به صورت نادرست اعمال شود، ممکن است منجر به مشکلات جدی شود و کاربر را مجبور به نصب مجدد سیستم‌عامل نماید.

از آنجا که این آسیب‌پذیری قبلاً مورد سوءاستفاده قرار گرفته، توصیه می‌شود راهبران امنیتی در اسرع وقت نسبت به اعمال راهکار پیشنهادی مایکروسافت اقدام نمایند.

مشروح توصیه‌نامه مایکروسافت در خصوص این ضعف امنیتی و راهکار موقت مقابله با آن در لینک زیر قابل دریافت و مطالعه است.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444