تفوقت Microsoft على نفسها بإصدارات Patch Tuesday لهذا الشهر، والتي لا تحتوي على تصحيحات يوم الصفر، على الرغم من أن واحدة على الأقل من التصحيحات تعالج خللًا تم استغلاله بالفعل بشكل نشط.
تتضمن المنتجات المتأثرة بتحديثات Patch Tuesday الأخيرة مكونات Windows وWindows؛ أزور. .NET Framework وVisual Studio؛ خادم قاعدة البيانات؛ خادم DNS؛ ويندوز ديفندر؛ بيتلوكر. والتمهيد الآمن لنظام التشغيل Windows.
يتضمن تحديث Microsoft لشهر أبريل 147 تحديًا للتطرف العنيف، ثلاثة منها مصنفة على أنها "حرجة"، و142 مصنفة على أنها "مهمة"، واثنتين مصنفتين على أنها "متوسطة" من حيث الخطورة. ويتضخم هذا العدد إلى 155 تحديًا للتطرف العنيف إذا تم تضمين عيوب الطرف الثالث. يمثل الرقم رقمًا قياسيًا لإصلاحات تصحيح الثلاثاء.
وقال ساتنام نارانغ، كبير الباحثين في شركة Tenable، في بيان: "قامت Microsoft بتصحيح 147 من التهديدات الخبيثة في أبريل، وهو أكبر عدد من التهديدات الخطيرة التي تم تصحيحها خلال شهر منذ أن بدأنا تتبع هذه البيانات في عام 2017". "آخر مرة تم فيها تصحيح أكثر من 100 برنامج مكافحة التطرف العنيف كانت في أكتوبر 2023، عندما عالجت Microsoft 103 برنامج مكافحة التطرف العنيف." وأضاف نارانج أن الرقم القياسي السابق كان في يوليو 2023، مع تصحيح 130 تحديًا للتطرف العنيف.
لم تشر Microsoft إلى أن أيًا من تصحيحات يوم الثلاثاء لشهر أبريل تمثل تهديدات يوم الصفر، وهو خروج مرحب به عن مقطع العام الماضي السريع للكشف عن يوم الصفر.
وقال نارانج: "في هذا الوقت من العام الماضي، تم استغلال سبع ثغرات يوم الصفر بشكل مباشر". هذا العام، تم استغلال يومين صفر فقط، وكلاهما كانا في فبراير. "من الصعب تحديد سبب هذا الانخفاض، سواء كان ذلك مجرد نقص في الرؤية أو إذا كان يشير إلى اتجاه يستخدم فيه المهاجمون نقاط الضعف المعروفة كجزء من هجماتهم على المؤسسات."
ومع ذلك، أشار داستن تشايلدز من مبادرة Zero Day في تقريره في أبريل تحليل تصحيح مايكروسوفت الثلاثاء أن منظمته لديها دليل على وجود خلل معروف مستغل في قائمة إصلاحات هذا الشهر.
تصحيح يوم الثلاثاء لإصلاح الأولويات
وأشار تشايلدز إلى الثغرة الأمنية القصوى في ميزة تجاوز ميزة SmartScreen Prompt Security (CVE-2024-29988) مع درجة CVSS تبلغ 8.8، والتي اكتشفتها ZDI ولكن لم يتم إدراجها على أنها مستغلة في تحديث تصحيح يوم الثلاثاء من Microsoft.
وأضاف تشايلدز: "ومع ذلك، تم العثور على الخطأ الذي أبلغ عنه صائد التهديدات ZDI Peter Girrus في البرية". "لدينا أدلة على أن هذا يتم استغلاله في البرية، وأنا أدرجه على هذا النحو."
هناك خطأ آخر شديد الخطورة يؤثر على الثغرة الأمنية لتنفيذ التعليمات البرمجية عن بعد في وقت تشغيل الاتصال عن بعد (CVE-2024-20678) حصل على درجة CVSS تبلغ 8.8 وتم تصحيحه هذا الشهر بواسطة Microsoft.
ثغرة أمنية (CVE-2024-20670)، المُدرج على أنه الحد الأقصى للخطورة مع CVSS الأساسي 8.1، تم إصلاحه في Outlook لنظام التشغيل Windows. وتنفيذ التعليمات البرمجية عن بعد لخادم Windows DNS، مدرج أيضًا على أنه الحد الأقصى للخطورة (CVE-2024-26221) مع درجة CVSS 7.2، تم تصحيحها أيضًا.
يحصل Microsoft SQL على الكثير من التصحيحات
تشكل الثغرات الأمنية في Microsoft SQL Server حصة كبيرة من إصلاحات تصحيح الثلاثاء لهذا الشهر، وفقًا لكيف برين، كبير مديري أبحاث التهديدات في Immersive Labs.
وقال برين في بيان: "رغم أنه قد يبدو للوهلة الأولى أن مايكروسوفت قد كشفت عن عدد كبير من نقاط الضعف في ملاحظاتها الأخيرة، فإن 40 منها جميعها مرتبطة بنفس المنتج - Microsoft SQL Server". "تكمن المشكلة الرئيسية في العملاء الذين يستخدمون للاتصال بخادم SQL، وليس الخادم نفسه."
وتابع برين موضحًا أن كل هذه الأمور تتطلب هندسة اجتماعية، مما يجعل من الصعب استغلال عيوب SQL بأي صفة مفيدة.
وأضاف برين: "تتبع جميع الثغرات الأمنية المبلغ عنها نمطًا مشابهًا: لكي يتمكن المهاجم من تنفيذ التعليمات البرمجية، يجب عليه إقناع مستخدم مصادق عليه داخل المؤسسة بالاتصال بخادم SQL بعيد يتحكم فيه المهاجم". "على الرغم من أن هذا ليس مستحيلا، فمن غير المرجح أن يتم استغلاله على نطاق واسع من قبل المهاجمين."
يجب على فرق الأمان المعنية بهذه الأنواع من الهجمات البحث عن الأنشطة الشاذة وحظر الاتصالات الصادرة باستثناء الخوادم الموثوقة.
Microsoft SmartScreen وعيوب التشغيل الآمن
أشار Narang من Tenable إلى الإصلاح الذي تم إجراؤه هذا الشهر لتجاوز ميزة الأمان SmartScreen Prompt (CVE-2024-29988)، مع درجة CVSS 8.8، تعتمد أيضًا على الهندسة الاجتماعية لجعل الاستغلال ممكنًا. تم استخدام خطأ مماثل لليوم الصفري (CVE-2024-21412)، اكتشفه نفس الباحثين، في حملة DarkGate التي تنتحل صفة العلامات التجارية الشهيرة مثل Apple iTunes.
وقال نارانج: "من المفترض أن يوفر Microsoft Defender SmartScreen حماية إضافية للمستخدمين النهائيين ضد مواقع التصيد الاحتيالي والمواقع الضارة". "ومع ذلك، كما يوحي الاسم، فإن هذه العيوب تتجاوز ميزات الأمان هذه، مما يؤدي إلى إصابة المستخدمين النهائيين بالبرامج الضارة."
واقترح نارانغ أيضًا على فرق الأمان إلقاء نظرة على 24 إصلاحًا لعيوب Windows Secure Boot المضمنة في إصدار Microsoft Patch April Tuesday.
"آخر مرة قامت فيها Microsoft بتصحيح خلل في Windows Secure Boot (CVE-2023-24932) في مايو 2023 كان لها تأثير ملحوظ حيث تم استغلالها في البرية وربطها بمجموعة أدوات التشغيل BlackLotus UEFI، والتي تم بيعها في منتديات Dark Web مقابل 5,000 دولار.
البرمجيات الخبيثة بلاك لوتس قادر على منع الحماية الأمنية أثناء التشغيل.
وشدد نارانغ على أنه "على الرغم من أنه لم يتم استغلال أي من ثغرات Secure Boot التي تمت معالجتها هذا الشهر بشكل مباشر، إلا أنها بمثابة تذكير بأن العيوب في Secure Boot لا تزال قائمة، ويمكننا أن نرى المزيد من الأنشطة الضارة المتعلقة بـ Secure Boot في المستقبل".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
