لا يمكن للبطاقة غير المطابقة vCard Flaw أن تجعل المتسللين يفسدون أجهزة الكمبيوتر التي تعمل بنظام Windows

تم اكتشاف ثغرة أمنية لمدة يوم واحد وتم الإبلاغ عنها في نظام تشغيل Windows في Microsoft ، والتي بموجب سيناريو معين ، يمكن أن تسمح لمهاجم بعيد بتنفيذ تعليمات برمجية عشوائية على جهاز Windows. 

اكتشفه الباحث الأمني جون صفحة (@ hyp3rlinx)، وضعف ذكرت أن الفريق الأمني مايكروسوفت من خلال برنامج تريند مايكرو مبادرة يوم الصفر (ZDI) قبل أكثر من 6 أشهر، التي رفضت عملاق التكنولوجيا لرأب الصدع، على الأقل في الوقت الراهن.

توجد الثغرة الأمنية ، التي لم يتم تعيين أي رقم CVE لها ، في الواقع داخل معالجة ملف vCard - وهو تنسيق ملف قياسي لتخزين معلومات جهة الاتصال لشخص أو نشاط تجاري ، والذي يدعمه أيضًا Microsoft Outlook.

ووفقا للباحث، يمكن لمهاجم بعيد الحرفية ضار ملف بصيغة بطاقة بطريقة عنوان الموقع جهة الاتصال تخزين ضمن النقاط الملف إلى ملف قابل للتنفيذ المحلي، والتي يمكن إرسالها داخل ملف مضغوط عن طريق البريد الإلكتروني أو تسليمها بشكل منفصل عن طريق drive- من خلال تقنيات التنزيل.

كما هو موضح في العرض التوضيحي للفيديو ، إذا نقر أحد الضحايا على عنوان URL لموقع الويب هذا ، فسيعمل نظام التشغيل Windows على تشغيل الملف الضار القابل للتنفيذ دون عرض أي تحذير ، بدلاً من فتح عنوان الويب في المتصفح. 

"يمكن للبيانات التي تم تصميمها في ملف VCard أن تجعل Windows يعرض رابطًا تشعبيًا خطيرًا" ، كما كتب الباحث في تقرير استشاري . "فشلت واجهة المستخدم في تقديم أي مؤشر على الخطر. يمكن للمهاجم الاستفادة من هذه الثغرة لتنفيذ التعليمات البرمجية في سياق المستخدم الحالي."

من الواضح أن "تفاعل المستخدم مطلوب لاستغلال هذه الثغرة الأمنية في أن الهدف يجب أن يزور صفحة ضارة أو يفتح ملفًا ضارًا." 

على الرغم من أن الهجوم يتطلب تفاعل المستخدم ، فإن ترك الثغرة غير المقطوعة سيترك فرصة للمهاجمين المتطورة لاستهداف مستخدمي Windows بشكل عام. 

كما قام الباحث أيضًا بنشر شفرة استغلال إثبات المفهوم لمدى التعرض ، والتي تم تعيين درجة CVSS 3.0 لها 7.8.