مایکروسافت (Microsoft Corp) در اطلاعیهای که در تاریخ 16 شهریور منتشر شده به تعدادی حملات اشاره نموده که به واسطه سوءاستفاده از آسیبپذیری موجود در MSHTML بر سیستمعامل Windows تأثیر میگذارند. این ضعف امنیتی به شناسه CVE-2021-40444 از نوع “روز-صفر” و دارای درجه اهمیت “مهم” (Important) میباشد.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات این آسیبپذیری و راهکار ارائه شده توسط مایکروسافت مورد بررسی قرار گرفته است.
MSHTML که با نام Trident نیز شناخته میشود، یک مولفه نرمافزاری است که توسط مایکروسافت برای برنامههای بیشماری در Windows از جمله مرورگرها (Browser) توسعه یافته است.
Trident در ابتدا با انتشار Internet Explorer 4 در سال 1997 مورد استفاده قرار گرفت. جهت بهبود انطباق با استانداردهای وب و اضافه کردن پشتیبانی از فناوریهای جدید در نسخههای بعدی مرورگر، تغییرات قابل توجهی در آن ایجاد شد. اگرچه Trident بیشتر با Internet Explorer مرتبط است، اما در سایر نرمافزارها از جمله نسخههای Skype، Microsoft Outlook، Visual Studio نیز استفاده میشود. اگر تا به حال برنامهای را باز کردهاید که ظاهراً به صورت “جادویی” تنظیمات پروکسی شما را میداند، به احتمال زیاد به این دلیل است که در آن از MSHTML استفاده شده است.
به گزارش مایکروسافت، مهاجم میتواند از ضعف امنیتی موجود در MSHTML برای “اجرای کد به صورت از راه دور” در نسخههای مختلف سیستمعامل Windows سوءاستفاده کند. مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال نموده و کاربر را متقاعد میکند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیبپذیری موجود در MSHTML، سوءاستفاده میکند.
در صورتی که سطح دسترسی کاربر بر روی دستگاه Administrator نباشد، اثرات مخرب سوءاستفاده از این آسیبپذیری به مراتب بسیار کمتر خواهد بود.
مایکروسافت در این اطلاعیه راهکار موقتی برای مقاومسازی این آسیبپذیری ارائه کرده است. آسیبپذیریهایی از این قبیل احتمالاً برای مدتهای طولانی مورد سوءاستفاده مهاجمان قرار میگیرند. خوشبختانه سوءاستفاده از این آسیبپذیری نیاز به تعامل و دخالت کاربر دارد. در عین حال اعمال راهکار پیشنهادی مایکروسافت بر روی تمامی دستگاهها زمانبر خواهد بود. این بدان معناست که مهاجمان فرصت کافی برای بهرهجویی از این ضعف امنیتی خواهند داشت.
مایکروسافت در ادامه عنوان نموده است که پس از پایان تحقیقات، بهروزرسانی امنیتی را در مجموعه اصلاحیههای ماه سپتامبر که سهشنبه 23 شهریور منتشر میشود یا در یک بهروزرسانی امنیتی جداگانه، ارائه خواهد نمود.
نرمافزار Office به صورت پیشفرض، اسناد را در اینترنت به صورت Protected View یا Application Guard for Office باز میکند که هر دو از اجرای حملات فعلی نیز جلوگیری میکنند. ولیکن، به منظور کاهش اثرات مخرب این ضعف امنیتی، مایکروسافت پیشنهاد کرده که نصب کنترلهای ActiveX در مرورگر غیرفعال شود.
جهت اعمال این راهکار موقت امنیتی، بایستی تغییراتی در رجیستری اعمال شود تا نصب کنترلهای ActiveX غیرفعال شود. با اعمال این راهکار، کنترلهای ActiveX که قبلاً نصب شده همچنان اجرا میشوند، اما از این به بعد با تغییرات مذکور در ریجستری، کنترلهای ActiveX جدید قابل نصب نخواهند بود. اگر تنظیمات Registry Editor به صورت نادرست اعمال شود، ممکن است منجر به مشکلات جدی شود و کاربر را مجبور به نصب مجدد سیستمعامل نماید.
از آنجا که این آسیبپذیری قبلاً مورد سوءاستفاده قرار گرفته، توصیه میشود راهبران امنیتی در اسرع وقت نسبت به اعمال راهکار پیشنهادی مایکروسافت اقدام نمایند.
مشروح توصیهنامه مایکروسافت در خصوص این ضعف امنیتی و راهکار موقت مقابله با آن در لینک زیر قابل دریافت و مطالعه است.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444