تذكر تلك صرف صفر يوم التي ظهرت في حريق دعاية في سبتمبر 2022؟
تلك العيوب ، والهجمات المبنية عليها ، كانت مدبلجة بذكاء ولكن بشكل مضلل ProxyNotShell لأن نقاط الضعف المعنية تذكرنا بـ بروكسيشيل ثغرة أمنية في البورصة ظهرت في الأخبار في أغسطس 2021.
لحسن الحظ ، على عكس ProxyShell ، لم تكن الأخطاء الجديدة قابلة للاستغلال بشكل مباشر من قبل أي شخص لديه اتصال بالإنترنت وشعور مضلل بمغامرة الأمن السيبراني.
هذه المرة ، كنت بحاجة إلى اتصال مصدق عليه ، مما يعني عادةً أنه كان عليك أولاً الحصول على كلمة مرور البريد الإلكتروني للمستخدم الحالي أو تخمينها بشكل صحيح ، ثم القيام بمحاولة متعمدة لتسجيل الدخول حيث كنت تعلم أنه ليس من المفترض أن تكون كذلك ، قبل أن تتمكن من إجراء أي "بحث" "لمساعدة" مسؤولي نظام الخادم في عملهم:
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
وبغض النظر عن ذلك ، نشك في أن العديد من الآلاف من "باحثي الأمن السيبراني" الذين يسمون أنفسهم بأنفسهم والذين كانوا سعداء بالتحقيق في خوادم الآخرين "من أجل المتعة" عندما كانت أخطاء Log4Shell و ProxyShell كلها في حالة من الغضب مدركين أنهم قد يتراجعون قرينة البراءة إذا تم القبض عليها وانتقادها. لكننا نشك في أنهم فكروا مرتين قبل أن يتم القبض عليهم وهم يتظاهرون فعليًا بأنهم مستخدمون يعرفون أنهم ليسوا كذلك ، ويحاولون الوصول إلى الخوادم تحت غطاء حسابات كانوا يعرفون أنه من المفترض أن تكون محظورة ، ثم يتراجعون عن "كنا فقط محاولة المساعدة "عذر.
لذلك ، على الرغم من أننا تأمل أن Microsoft ستخرج بإصلاح سريع خارج النطاق ، لم نقم بذلك توقع واحد ...
... ولذلك افترضنا ، ربما مشتركًا مع معظم قراء Naked Security ، أن التصحيحات ستصل بهدوء ودون استعجال كجزء من التصحيح أكتوبر 2022 الثلاثاء ، الذي لا يزال على بعد أكثر من أسبوعين.
بعد كل شيء ، فإن التسرع في إصلاحات الأمن السيبراني يشبه إلى حد ما الركض بالمقص أو استخدام الخطوة العليا من سلم السلالم: هناك طرق للقيام بذلك بأمان إذا كان عليك فعل ذلك ، ولكن من الأفضل تجنب القيام بذلك تمامًا إذا استطعت.
ومع ذلك ، فإن البقع لم تظهر في باتش الثلاثاءy أيضًا ، من المسلم به أن مفاجأتنا المعتدلة ، على الرغم من أننا شعرنا بالرضا واليقين من أن الإصلاحات ستظهر في يوم الثلاثاء نوفمبر 2022 على أبعد تقدير:
التصحيح الثلاثاء بإيجاز - تم إصلاحه لمدة 0 يوم ، ولكن لا توجد تصحيحات لـ Exchange!
المثير للاهتمام ، أننا كنا مخطئين مرة أخرى (بالمعنى الدقيق للكلمة ، على الأقل): ProxyNotShell البقع لم تنجح إلى الثلاثاء التصحيح لشهر نوفمبر ، لكنهم حصلوا على تصحيح on باتش الثلاثاء ، سيصل بدلاً من ذلك في سلسلة من تحديثات أمان Exchange (SUs) تم إصدارها في نفس اليوم:
نوفمبر 2022 [Exchange] SUs متاحة لـ [Exchange 2013 و 2016 و 2019].
نظرًا لأننا ندرك عمليات الاستغلال النشطة للثغرات الأمنية ذات الصلة (الهجمات المستهدفة المحدودة) ، فإن توصيتنا هي تثبيت هذه التحديثات على الفور لحمايتها من هذه الهجمات.
تحتوي وحدات الدفع الخاصة بشهر نوفمبر 2022 على إصلاحات لثغرات يوم الصفر التي تم الإبلاغ عنها علنًا في 29 سبتمبر 2022 (CVE-2022-41040 و CVE-2022-41082).
تؤثر هذه الثغرات الأمنية على Exchange Server. عملاء Exchange Online محميون بالفعل من الثغرات الأمنية التي تم تناولها في هذه الوحدات ولا يحتاجون إلى اتخاذ أي إجراء بخلاف تحديث أي خوادم Exchange في بيئتهم.
نحن نخمن أن هذه الإصلاحات لم تكن جزءًا من آلية يوم الثلاثاء التصحيحية العادية لأنها ليست ما تشير إليه Microsoft باسم CUs ، باختصار التحديثات التراكمية.
هذا يعني أنك تحتاج أولاً إلى التأكد من أن تثبيت Exchange الحالي لديك محدث بما يكفي لقبول التصحيحات الجديدة ، وأن العملية التحضيرية مختلفة قليلاً اعتمادًا على إصدار Exchange لديك.
62 حفرة إضافية ، 4 أيام صفرية جديدة
لم تكن تلك الأخطاء القديمة في Exchange هي أيام الصفر الوحيدة التي تم تصحيحها في Patch Tuesday.
تتعامل تحديثات Windows Patch العادية الثلاثاء مع 62 ثغرة أمنية أخرى ، أربعة منها أخطاء اكتشفها مهاجمون مجهولون أولاً ، ويستغلونها بالفعل لأغراض غير معلنة ، أو صفر أيام لفترة قصيرة.
(بدون الحاجة لأى معرفة بتصميم و برمجة المواقع الإلكترونية لأنه لم يكن هناك أي يوم يمكنك فيه تطبيق التصحيحات قبل المحتالين ، بغض النظر عن مدى سرعة نشر التحديثات.)
سنلخص هذه الأخطاء الأربعة في يوم الصفر بسرعة هنا ؛ للحصول على تغطية أكثر تفصيلاً لجميع نقاط الضعف البالغ عددها 62 ، بالإضافة إلى إحصائيات حول توزيع الأخطاء بشكل عام ، يرجى الرجوع إلى تقرير SophosLabs على موقعنا الشقيق Sophos News:
تصحح Microsoft 62 ثغرة أمنية ، بما في ذلك Kerberos و Mark of the Web و Exchange… نوعًا ما
أيام الصفر الثابتة في إصلاحات يوم الثلاثاء التصحيح لهذا الشهر:
- CVE-2022-41128: لغات البرمجة النصية لـ Windows ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد. يقول العنوان كل شيء: يمكن للنصوص المفخخة من موقع بعيد الهروب من صندوق الحماية الذي من المفترض أن يجعلها غير ضارة ، وتشغيل التعليمات البرمجية التي يختارها المهاجم. عادةً ما يعني هذا أنه حتى المستخدم المطلع الذي نظر فقط إلى صفحة ويب على خادم مفخخ قد ينتهي به الأمر ببرامج ضارة مزروعة بشكل خفي على أجهزة الكمبيوتر الخاصة بهم ، دون النقر فوق أي روابط تنزيل أو رؤية أي نوافذ منبثقة أو النقر فوق أي منها تحذيرات أمنية. على ما يبدو ، هذا الخطأ موجود في Microsoft القديم
Jscript9محرك JavaScript ، لم يعد مستخدمًا في Edge (والذي يستخدم الآن نظام جافا سكريبت V8 من Google) ، ولكنه لا يزال مستخدمًا بواسطة تطبيقات Microsoft الأخرى ، بما في ذلك متصفح Internet Explorer القديم. - CVE-2022-41073: رفع التخزين المؤقت للطباعة في Windows عن ثغرة أمنية في الامتياز. توجد التخزين المؤقت للطباعة لالتقاط إخراج الطابعة من العديد من البرامج والمستخدمين المختلفين ، وحتى من أجهزة الكمبيوتر البعيدة ، ومن ثم تسليمها بطريقة منظمة إلى الجهاز المطلوب ، حتى لو نفد الورق عندما حاولت الطباعة ، أو كانت مشغولة بالفعل طباعة مهمة طويلة لشخص آخر. يعني هذا عادةً أن المبردات معقدة برمجيًا ، وتتطلب امتيازات على مستوى النظام حتى يتمكنوا من العمل "كمفاوضين" بين المستخدمين غير المتميزين وجهاز الطابعة. يستخدم Windows Printer Spooler كل الميزات المحلية القوية
SYSTEMوكما تلاحظ نشرة Microsoft: "يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية الحصول على امتيازات النظام." - CVE-2022-41125: رفع خدمة عزل مفتاح Windows CNG لضعف الامتياز. كما هو الحال في خطأ Print Spooler أعلاه ، يحتاج المهاجمون الذين يرغبون في استغلال هذا الثقب إلى موطئ قدم على نظامك أولاً. ولكن حتى إذا تم تسجيل دخولهم كمستخدم عادي أو ضيف لتبدأ معهم ، فقد ينتهي بهم الأمر بصلاحيات شبيهة بمسؤول النظام من خلال التملص من خلال هذه الثغرة الأمنية. ومن المفارقات أن هذا الخطأ موجود في عملية محمية بشكل خاص يتم تشغيلها كجزء مما يسمى Windows LSA (سلطة النظام المحلي) من المفترض أن يصعب على المهاجمين استخراج كلمات المرور المخزنة مؤقتًا ومفاتيح التشفير من ذاكرة النظام. نحن نخمن أنه بعد استغلال هذا الخطأ ، سيتمكن المهاجمون من تجاوز مستوى الأمان الذي من المفترض أن توفره خدمة عزل المفتاح نفسها ، إلى جانب تجاوز معظم إعدادات الأمان الأخرى على الكمبيوتر.
- CVE-2022-41091: علامة Windows الخاصة بميزة أمان الويب تجاوز الثغرة الأمنية. برنامج Microsoft's MoTW (علامة الويب) هو الاسم اللطيف للشركة لما كان يُعرف ببساطة باسم مناطق الإنترنت: "تسمية بيانات" محفوظة مع ملف تم تنزيله يحتفظ بسجل للمصدر الأصلي لهذا الملف. يقوم Windows تلقائيًا بعد ذلك بتغيير إعدادات الأمان الخاصة به وفقًا لذلك كلما استخدمت الملف لاحقًا. والجدير بالذكر أن ملفات Office المحفوظة من مرفقات البريد الإلكتروني أو التي تم جلبها من خارج الشركة ستفتح تلقائيًا فيما يسمى طريقة عرض محمية بشكل افتراضي ، مما يؤدي إلى حظر وحدات الماكرو والمحتويات الأخرى التي يحتمل أن تكون خطرة. ببساطة ، يعني هذا الاستغلال أن المهاجم يمكنه خداع Windows لحفظ الملفات غير الموثوق بها دون تسجيل مصدرها بشكل صحيح ، مما يعرضك أنت أو زملائك للخطر عند فتح هذه الملفات أو مشاركتها لاحقًا.
ماذا ستفعلين.. إذًا؟
- التصحيح المبكر / التصحيح في كثير من الأحيان. لأنك تستطيع.
- إذا كان لديك أي خوادم Exchange داخلية ، لا تنسَ تصحيحها أيضًا ، لأن تصحيحات Exchange لمدة 0 يومًا الموضحة أعلاه لن تظهر كجزء من عملية تحديث يوم الثلاثاء المعتادة.
- اقرأ مقال أخبار سوفوس For مزيد من المعلومات على إصلاحات يوم الثلاثاء 58 الأخرى التي لم يتم تناولها صراحة هنا.
- لا تؤجل / افعلها اليوم. لأن أربعة من إصلاحات الأخطاء تم الكشف عنها حديثًا حيث تم بالفعل إساءة استخدام المهاجمين النشطين.
