مايكروسوفت تكشف عن ثغرة أمنية خطيرة في Office

كشفت شركة مايكروسوفت عن ثغرة أمنية خطيرة للغاية تؤثر على Office 2016 والإصدارات الأحدث، ولا تزال تنتظر التصحيح.

تم تتبع هذه الثغرة الأمنية باسم CVE-2024-38200، وهي ناتجة عن ضعف في الكشف عن المعلومات يتيح للجهات الفاعلة غير المصرح لها الوصول إلى المعلومات المحمية مثل حالة النظام أو بيانات التكوين أو المعلومات الشخصية أو بيانات تعريف الاتصال.

تؤثر الثغرة الأمنية الخطيرة على إصدارات Office متعددة 32 بت و64 بت، بما في ذلك Office 2016 وOffice 2019 وOffice LTSC 2021 وMicrosoft 365 Apps for Enterprise.

على الرغم من أن تقييم قابلية الاستغلال من قِبل شركة مايكروسوفت يقول إن استغلال CVE-2024-38200 أقل احتمالية، فقد وصف معهد ماساتشوستس للتكنولوجيا احتمالية استغلال هذا النوع من نقاط الضعف بأنها محتملة للغاية.

"في سيناريو هجوم قائم على الويب، يمكن للمهاجم استضافة موقع ويب (أو الاستفادة من موقع ويب مخترق يقبل أو يستضيف محتوى يقدمه المستخدم) يحتوي على ملف مصمم خصيصًا لاستغلال الثغرة الأمنية"، كما يوضح استشارة Microsoft.

"ومع ذلك، لن يكون لدى المهاجم أي طريقة لإجبار المستخدم على زيارة الموقع. بدلاً من ذلك، سيتعين على المهاجم إقناع المستخدم بالنقر فوق رابط، عادةً عن طريق الإغراء في رسالة بريد إلكتروني أو رسالة Instant Messenger، ثم إقناع المستخدم بفتح الملف المصمم خصيصًا."

تعمل الشركة على تطوير تحديثات أمنية لمعالجة هذا الخطأ غير المسبوق ولكنها لم تعلن بعد عن تاريخ الإصدار.

في حين لم يشارك Redmond أي تفاصيل بخصوص الخلل، فقد نُسب اكتشافه إلى مستشار الأمن في PrivSec Consulting Jim Rush وعضو فريق Synack Red Team Metin Yunus Kandemir.

صرح المدير الإداري لشركة PrivSec بيتر جاكويتز لموقع BleepingComputer أن Rush سيكشف المزيد من المعلومات حول هذه الثغرة الأمنية في حديثه القادم في مؤتمر Defcon بعنوان "NTLM - The last ride".

يوضح Rush: "سيكون هناك بحث متعمق في العديد من الأخطاء الجديدة التي كشفنا عنها لشركة Microsoft (بما في ذلك تجاوز إصلاح لثغرة CVE موجودة)، وبعض التقنيات المثيرة للاهتمام والمفيدة، والجمع بين التقنيات من فئات أخطاء متعددة مما أدى إلى بعض الاكتشافات غير المتوقعة وبعض الأخطاء المطبوخة تمامًا".

"سنكتشف أيضًا بعض الإعدادات الافتراضية التي لا ينبغي أن توجد ببساطة في المكتبات أو التطبيقات المعقولة بالإضافة إلى بعض الثغرات الصارخة في بعض عناصر التحكم الأمنية المتعلقة بـ NTLM من Microsoft".

لم يكن المتحدث باسم Synack متاحًا للتعليق فورًا عندما اتصلت به BleepingComputer في وقت سابق اليوم لمزيد من التفاصيل بشأن ثغرة CVE-2024-38200.

تعمل Microsoft أيضًا على تصحيح عيوب اليوم صفر التي يمكن استغلالها "لإلغاء التصحيح" لأنظمة Windows الحديثة وإعادة تقديم الثغرات الأمنية القديمة.

قالت الشركة أيضًا في وقت سابق من هذا الأسبوع إنها تفكر في تصحيح Windows Smart App Control، تجاوز SmartScreen الذي تم استغلاله منذ عام 2018.