اكتشف باحثون أمنيون ثغرة خطيرة في أنظمة التشغيل ويندوز، تسمح للمتسللين بتشغيل برمجيات خبيثة على الحواسيب العاملة بهذا النظام، دون أن تطلق الأجهزة المستخدمة أي نوع من الإنذارات.
وقال الباحثون إن هذه الثغرة تسمح للمتسللين بتجاوز “Mark of the Web”، وهي ميزة في أنظمة ويندوز للتشغيل، وتعمل على تسمية الملفات التي تنزل من مواقع غير موثوق بها عبر الإنترنت.
وأما البرمجة الخبيثة فهي تنتمي إلى فئة برمجيات تروجان، وتستهدف قطاع المصارف، وتوزع عن طريق الثغرة Qbot. ولا تزال تشكل تهديداً كبيراً للضحايا.
وأوضح الباحثون أن توزيع البرمجة الخبيثة والتي تعرف ب”Quakbot”. يبدأ برسالة على البريد الإلكتروني تحتوي على رابط لأرشيف ZIB محمية بكلمة مرور.
ويحوي هذا الأرشيف على ملف صورة قرص ويعرض ملف جافاسكريبت مستقلًا مع تواقيع مشوهة، وملفًا نصيًا، ومجلدًا فيه ملف DLL. ويحمل ملف جافاسكريبت برنامجًا نصيًا من نوع VB يقرأ محتويات الملف النصي، مما يؤدي إلى تشغيل ملف DLL.
وبما أن نظام ويندوز لم يسم ملف صور القرص بميزة Mark of the Web على شكل صحيح، فإنه يسمح بتشغيل هذه البرمجية دون أي تحذيرات.
وعلى الأجهزة التي نظام تشغيلها ويندوز 10 أو 11 فإن النقر المزدوج على هذا الملف يؤدي تلقائياً إلى تحميله كحرف محرك أقراص جديد.
اقرأ أيضاً:
يذكر أن هذه المرة ليست الوحيدة التي يقوم المتسللون بإساءة استخدام الثغرات المحيطة بميزة Mark of the Web. ففي الفترة الأخيرة لاحظ الباحثون أن متسللين قاموا بنشر طريقة مماثلة لتوزيع برمجية انتزاع الفدية، وذلك وفقاً لموقع BleepingComputer. بالإضافة إلى تقرير نشرته شركة HP لاحظت خلاله أن المفتاح المشوه نفسه استخدم في كل من هذه الحملة وحملة Magniber.
ويعتقد أن شركة مايكروسوفت تعلم بهذه الثغرة منذ شهر أكتوبر (تشرين الأول) الماضي، ولكنها لم تنزل تصحيحاً لها. ومن المتوقع أن تقوم الشركة بتصحيح هذه الثغرة في تحديثها المقبل لشهر ديسمبر (كانون الأول).
دقيقة – يوغياكارتا
