شعار زيفيرنت

ذكاء البيانات التوليدية

الأمن السيبراني

تسمح Microsoft Zero-Days بتجاوز المدافع وتصعيد الامتيازات

أعاد نشره أفلاطون
أعاد نشره أفلاطون

التاريخ:

المشاهدات: 174

أصدرت Microsoft إصلاحات لإجمالي 63 خطأ في تحديث نوفمبر 2023، بما في ذلك ثلاثة أخطاء تستغلها الجهات الفاعلة في التهديد بالفعل واثنين تم الكشف عنهما مسبقًا ولكن لم يتم استغلالهما بعد.

من وجهة نظر الأرقام الأولية، يعد تحديث Microsoft لشهر نوفمبر أصغر بكثير من التحديث الذي تم إصداره في أكتوبر، والذي تضمن إصلاحات لعدد كبير من 112 من التهديدات الخطيرة. يتضمن تحديث هذا الشهر أيضًا عددًا أقل من نقاط الضعف الحرجة — ثلاث — مقارنة بالأشهر الأخيرة. قامت Microsoft بتقييم جميع التهديدات المتبقية من التهديدات الشائعة باستثناء أربعة منها في تحديثاتها لشهر نوفمبر باعتبارها ذات خطورة متوسطة أو مهمة.

ثلاثة أيام صفرية يستغلها المهاجمون بشكل نشط

كما هو الحال دائمًا، فإن الطريقة التي تحدد بها المؤسسات أولوياتها لتصحيح أحدث مجموعة من الأخطاء ستعتمد على مجموعة متنوعة من العوامل. وتشمل هذه العوامل مدى انتشار نقاط الضعف في بيئاتها المحددة، والأصول المتضررة، وإمكانية الوصول إلى تلك الأصول، وسهولة الاستغلال، واعتبارات أخرى.

ولكن كما هو الحال مع كل تحديث شهري لشركة Microsoft، هناك العديد من الأخطاء في الدفعة الأخيرة التي اتفق خبراء الأمن على أنها تستحق اهتمامًا أكبر من غيرها. تتناسب أخطاء يوم الصفر الثلاثة المستغلة بشكل نشط مع هذه الفئة.

واحد منهم هو CVE-2023-36036، ثغرة أمنية في تصعيد الامتيازات في برنامج التشغيل Windows Cloud Files Mini Filter Driver من Microsoft والذي يمنح المهاجمين طريقة للحصول على امتيازات على مستوى النظام. قامت Microsoft بتقييم الثغرة الأمنية باعتبارها تهديدًا متوسط ​​الخطورة – أو مهمًا – ولكنها قدمت تفاصيل قليلة نسبيًا حول المشكلة. حدد ساتنام نارانغ، كبير مهندسي الأبحاث في شركة Tenable، الثغرة على أنها شيء من المرجح أن يكون موضع اهتمام الجهات الفاعلة في مجال التهديد من وجهة نظر نشاط ما بعد التسوية. يتطلب المهاجم الوصول المحلي إلى النظام المتأثر لاستغلال الخطأ. يتضمن الاستغلال القليل من التعقيد أو تفاعل المستخدم أو الامتيازات الخاصة.

يعد برنامج Windows Cloud Files Mini Filter Driver مكونًا ضروريًا لعمل الملفات المخزنة على السحابة على أنظمة Windows، كما يقول سعيد عباسي، مدير أبحاث الثغرات والتهديدات في Qualys. "إن الوجود الواسع النطاق لبرنامج التشغيل هذا في جميع إصدارات Windows تقريبًا يزيد من المخاطر، مما يوفر سطحًا واسعًا للهجوم. يقول عباسي: "إنه يتعرض حاليًا لهجوم نشط ويشكل خطرًا كبيرًا، خاصة عندما يقترن بخلل في تنفيذ التعليمات البرمجية".

الخطأ الآخر في تحديث Microsoft لشهر نوفمبر هو CVE-2023-36033، ثغرة أمنية لتصعيد الامتيازات في مكون Windows DWM Core Library. تتيح هذه الثغرة الأمنية أيضًا إمكانية الوصول إلى الامتيازات على مستوى النظام على الأنظمة المتأثرة، كما يسهل استغلالها نسبيًا. وقال مايك والترز، الرئيس والمؤسس المشارك لشركة Action1: "يمكن استغلال هذه الثغرة الأمنية محليًا، مع تعقيد منخفض ودون الحاجة إلى امتيازات عالية المستوى أو تفاعل المستخدم". كتب في بلوق وظيفة. وأشار والترز إلى أن الخطأ قد يكون مفيدًا للمهاجم الذي حصل بالفعل على حق الوصول الأولي إلى النظام.

يقول عباسي: "في الوقت الحالي، تتعرض هذه الثغرة الأمنية لهجوم نشط، مما يشير إلى وجود تطبيق حقيقي من قبل جهات ضارة". "على الرغم من أن النطاق الشامل لهذه الهجمات الإلكترونية لم يتم التأكد منه بشكل كامل بعد، إلا أن الأنماط التاريخية تشير إلى أنها غالبًا ما تبدأ بحوادث بسيطة وتتصاعد تدريجياً في نطاقها."

الخطأ الثالث في يوم الصفر CVE-2023-36025، عبارة عن خلل في تجاوز الأمان يمنح المهاجمين طريقة لتجاوز عمليات فحص Windows Defender SmartScreen التي تحذر من مواقع الويب الضارة والملفات والتطبيقات الخطرة أو غير المعروفة.

هذه هي الثغرة الثالثة التي يتم استغلالها في Windows SmartScreen Zero-day في عام 2023 والرابعة في العامين الماضيين، وفقًا لـ Tenable's Narang.

وكتب والترز في منشور بالمدونة أن المهاجم عن بعد يمكنه استغلال الثغرة الأمنية عبر الشبكة مع القليل من التعقيد وبدون تفاعل من المستخدم. وأضاف والترز أنه مع الحصول على درجة CVSS تبلغ 8.8 من أصل 10 كحد أقصى، فإن CVE-2023-36025 هو شيء لا تحتاج المؤسسات إلى الاهتمام به. "نظرًا لتصنيف CVSS العالي وحقيقة أنه يتم استغلاله بشكل نشط، فإن هذا يجعل CVE-2023-36025 واحدة من الثغرات الأمنية التي يجب إعطاء الأولوية للتصحيح."

اثنين من الأخطاء - CVE-2023-36038، ثغرة أمنية في رفض الخدمة تؤثر على ASP.NET Core و CVE-2023-36413، ميزة أمنية لتجاوز الخلل في Microsoft Office - تم الكشف عنها علنًا قبل تصحيح يوم الثلاثاء لشهر نوفمبر ولكنها ظلت غير مستغلة.

أخطاء الخطورة الحرجة

نقاط الضعف الثلاث في تحديث نوفمبر والتي قامت مايكروسوفت بتقييمها على أنها خطيرة للغاية هي: CVE-2023-36397، تنفيذ التعليمات البرمجية عن بعد (RCE) في بروتوكول Windows Pragmatic General Multicast لنقل بيانات البث المتعدد؛ CVE-2023-36400، ارتفاع خطأ الامتياز في ميزة اشتقاق مفتاح Windows HMAC؛ و CVE-2023-36052، خطأ في الكشف عن المعلومات في أحد مكونات Azure.

من بين الأخطاء الثلاثة الحرجة، ربما تكون CVE-2023-36052 هي المشكلة التي تحتاج المؤسسات إلى تحديد أولوياتها، كما يقول جون غالاغر، نائب رئيس Viakoo Labs في Viakoo. يسمح الخطأ للمهاجم باستخدام أوامر واجهة سطر الأوامر الشائعة للوصول إلى بيانات اعتماد النص العادي: أسماء المستخدمين وكلمات المرور. يقول غالاغر: "من المحتمل أن تكون بيانات الاعتماد هذه قابلة للاستخدام في بيئات أخرى غير Azure DevOps أو GitHub، وبالتالي تخلق خطرًا أمنيًا عاجلاً".

في مركز عاصفة الإنترنت SANS بلوق وظيفة، أشار يوهانس أولريش، عميد الأبحاث في معهد SANS للتكنولوجيا، إلى المشكلة في البث العام العملي باعتبارها مشكلة يجب مراقبتها. كتب أولريش: "CVE-2023-36397، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في بروتوكول Windows Pragmatic General Multicast (PGM)، جديرة بالملاحظة حيث كان لدينا تصحيحات لهذا في الأشهر السابقة". "لكن الاستغلال يجب أن يكون صعبا. سيتطلب الوصول إلى الشبكة المحلية ولا يتم تمكينه عادةً.

أشار جيسون كيتكا، كبير مسؤولي أمن المعلومات في Automox، أيضًا إلى ارتفاع متوسط ​​الخطورة لضعف الامتياز (CVE-2023-36422) كخطأ لا ينبغي لفرق الأمان تجاهله. على الرغم من أن مايكروسوفت صنفت الثغرة على أنها مشكلة "مهمة"، إلا أن التهديد الذي يمثله أمر بالغ الأهمية لأن المهاجم يمكنه الحصول على امتيازات النظام من خلال استغلال الثغرة الأمنية، حسبما كتب كيتكا في مقال. بلوق وظيفة. وكتب: "إن استراتيجية التخفيف الأكثر فعالية ضد مثل هذا التهديد هي تطبيق التصحيحات المتاحة على الفور والتأكد من تحديثها".

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة

حقوق النشر @ 2024 Plato Technologies Inc.