مايكروسوفت تصلح عيب أمني موجود منذ ١٧ عاماً

أعلنت شركة مايكروسوفت قبل عدة أيام عن قيامها بإصلاح العلة المتعلقة بتنفيذ التعليمات البرمجية عن بعد البالغ عمرها ١٧ عاماً، والتي كانت تتواجد ضمن برمجية قابلة للتنفيذ تسمى “محرر معادلات مايكروسوفت” Microsoft Equation Editor المتواجدة ضمن حزمة برمجيات المكتب أوفيس.

ويأتي تصحيح الضعف CVE-٢٠١٧-١١٨٨٢ كجزء من التصحيح الأمني لشهر نوفمبر/تشرين الثاني الذي صدر يوم الثلاثاء ويحتوي على ٥٣ تصحيح، وتؤدي نقاط الضعف الموجودة في البرمجيات المستخدمة ضمن الهواتف الذكية والحواسيب اللوحية وأجهزة الحاسب إلى وضع المستخدم في خطر شبه يومي.

وقد قيمت شركة مايكروسوفت العلة بوصفها “هامة” من حيث التأثير، لكن الباحثين الأمنيين في شركة Embedi للحلول الأمنية الذين اكتشفوا العلة وصفوها بأنها “خطيرة للغاية”، وذلك تبعاً لوجود هذه العلة في كل إصدار من حزمة المكتب أوفيس صدر منذ عام ٢٠٠٠، كما أنها تعمل مع كافة إصدارات ويندوز، بما في ذلك Windows ١٠ Creators Update.

ويتم تثبيت محرر المعادلات بشكل افتراض مع مجموعة أوفيس، ويتم استخدام البرمجية لإدراج وتحرير المعادلات المعقدة كعناصر ربط وتضمين OLE في مستندات مايكروسوفت وورد Word، وهي ميزة قد لا يجري استعمالها أبداً من قبل مستخدمي مايكروسوفت أوفيس.

وتتواجد برمجية محرر المعادلات منذ شهر نوفمبر/تشرين الثاني عام ٢٠٠٠، وتواجدت منذ ذلك الحين ضمن جميع نسخ حزمة المكتب أوفيس، وجرى اسبتدال البرمجية في عام ٢٠٠٧ بنسخة أحدث، وتم ترك برمجية محرر المعالات القديمة ضمن أوفيس لدعم الملفات التي استخدمت المعادلات القديمة المستندة على EQNEDT٣٢.EXE.

وكشف تحليل إضافي من قبل شركة Embedi بأن EQNEDT٣٢.EXE غير آمنة لأنها تعمل خارج نطاق حزمة أوفيس عند تشغيلها، كما أنها لم تستفد من الميزات الأمنية الموجودة ضمن ويندوز ١٠ وأوفيس مثل Control Flow Guard.

وكانت مايكروسوفت قد أدخلت ميزة أمان جديدة ضمن إصدار أوفيس ٢٠١٠، والتي خففت بشكل كبير من المخاطر، وهي وضعية “العرض المحمي” Protected View، والتي تساعد على الحماية من مثل هذه البرمجيات عن طريق الحد من وظائف المستندات والوثائق غير المعروفة وغير الآمنة.

وبحسب Embedi يمكن للهاكرز الالتفاف بسهولة على هذه الحماية عن طريق اختراق المستخدم أولاً عبر هجوم تصيد مقنع وتعطيل ميزة Protected View ومن ثم استغلال العلة عن بعد، وذلك مع التحسن الملحوظ في السنوات الاخيرة لمهارات الهاكرز في الهندسة الاجتماعية وهجمات التصيد الاحتيالية التي تعد اليوم أكثر تعقيداً بكثير مما كانت عليه عام ٢٠١٠.