يتضمن التحديث الأمني Patch Tuesday المقرر من Microsoft لشهر فبراير إصلاحات لثغرتين أمنيتين في يوم الصفر تحت هجوم نشط، بالإضافة إلى 71 عيبًا آخر عبر مجموعة واسعة من منتجاتها.
في المجمل، تم تصنيف خمس من الثغرات الأمنية التي أصدرت مايكروسوفت تصحيحًا لها في فبراير على أنها حرجة، و66 على أنها مهمة، واثنتان على أنها متوسطة.
• يتضمن التحديث تصحيحات لـ Microsoft Office وWindows وMicrosoft Exchange Server ومتصفح Edge المستند إلى Chromium الخاص بالشركة وAzure Active Directory وMicrosoft Defender for Endpoint وSkype للأعمال. حدد تينابل 30 من أصل 73 من التحديات الخطيرة مثل نقاط الضعف في تنفيذ التعليمات البرمجية عن بعد (RCE)؛ 16 كتمكين لتصعيد الامتيازات؛ 10 مرتبطة بأخطاء الانتحال؛ تسعة كتمكين لهجمات حجب الخدمة الموزعة؛ خمسة عيوب الكشف عن المعلومات؛ وثلاثة قضايا تجاوز الأمن.
مياه هيدرا تستغل أيام الصفر لاستهداف المتداولين الماليين
يقوم ممثل التهديد المعروف باسم Water Hydra (المعروف أيضًا باسم Dark Casino) حاليًا بالاستفادة من إحدى نقاط الضعف في يوم الصفر - وهي ميزة أمان ملفات اختصار الإنترنت لتجاوز الثغرة الأمنية تعقب كـ CVE-2024-21412 (CVSS 8.1) — في حملة خبيثة تستهدف المؤسسات في القطاع المالي.
وصف الباحثون في Trend Micro - من بين العديد ممن اكتشفوا الخلل وأبلغوا عنه إلى Microsoft - بأنه مرتبط بتجاوز ثغرة أمنية في SmartScreen تم تصحيحها مسبقًا (CVE-2023-36025، CVSS 8.8) ويؤثر على كافة إصدارات Windows المدعومة. يستخدم ممثلو Water Hydra CVE-2024-21412 للوصول الأولي إلى الأنظمة التابعة للمتداولين الماليين وإسقاط حصان طروادة DarkMe للوصول عن بعد عليهم.
وقال سعيد عباسي، مدير باحث الثغرات الأمنية في Qualys، في تعليق عبر البريد الإلكتروني، لاستغلال الثغرة الأمنية، سيحتاج المهاجم أولاً إلى تسليم ملف ضار إلى مستخدم مستهدف وحمله على فتحه. وقال عباسي: "إن تأثير هذه الثغرة الأمنية عميق، مما يعرض الأمن للخطر ويقوض الثقة في آليات الحماية مثل SmartScreen".
SmartScreen تجاوز يوم الصفر
يؤثر يوم الصفر الآخر الذي كشفت عنه Microsoft في التحديث الأمني لهذا الشهر على Defender SmartScreen. وفقا لمايكروسوفت، CVE-2024-21351 عبارة عن خطأ متوسط الخطورة يسمح للمهاجم بتجاوز إجراءات حماية SmartScreen وإدخال تعليمات برمجية فيها للحصول على إمكانات تنفيذ التعليمات البرمجية عن بُعد. وقالت مايكروسوفت إن الاستغلال الناجح قد يؤدي إلى تعرض محدود للبيانات، أو مشكلات في توفر الأنظمة، أو كليهما. ولا تتوفر تفاصيل حول الجهة التي قد تستغل الثغرة ولأي غرض.
في التعليقات المعدة لـ Dark Reading، قال مايك والترز، الرئيس والمؤسس المشارك لـ Action1، إن الثغرة الأمنية مرتبطة بالطريقة التي يتفاعل بها Microsoft Mark of the Web (ميزة لتحديد المحتوى غير الموثوق به من الإنترنت) مع ميزة SmartScreen. وقال والترز: "بالنسبة لهذه الثغرة الأمنية، يجب على المهاجم توزيع ملف ضار على المستخدم وإقناعه بفتحه، مما يسمح له بالتحايل على عمليات فحص SmartScreen وربما تعريض أمن النظام للخطر".
الأخطاء ذات الأولوية العالية
من بين نقاط الضعف الخمس الحرجة في تحديث فبراير، تلك التي تتطلب اهتمامًا ذا أولوية هي CVE-2024-21410، وهي ثغرة أمنية لتصعيد الامتيازات في Exchange Server، وهي هدف مفضل للمهاجمين. يمكن للمهاجم استخدام الخطأ للكشف عن تجزئة الإصدار 2 من Net-New Technology LAN Manager (NTLM) للمستخدم المستهدف ثم ترحيل بيانات الاعتماد هذه مقابل Exchange Server المتأثر والمصادقة عليه كمستخدم.
وقال ساتنام نارانغ، كبير مهندسي الأبحاث في شركة Tenable، في بيان له، إن مثل هذه العيوب التي تكشف عن معلومات حساسة مثل تجزئات NTLM يمكن أن تكون ذات قيمة كبيرة للمهاجمين. وقال: "استغل ممثل تهديد مقره روسيا ثغرة أمنية مماثلة لتنفيذ هجمات - CVE-2023-23397 هي ثغرة أمنية في رفع الامتيازات في Microsoft Outlook تم تصحيحها في مارس 2023".
لتصحيح الخلل، سيحتاج مسؤولو Exchange إلى التأكد من قيامهم بتثبيت تحديث Exchange Server 2019 التراكمي 14 (CU14) والتأكد من تمكين ميزة الحماية الموسعة للمصادقة (EPA)، حسبما قالت Trend Micro. وأشار بائع الأمن إلى المقال الذي نشرته مايكروسوفت الذي يوفر معلومات إضافية حول كيفية تصحيح الثغرة الأمنية.
قامت Microsoft بتعيين CVE-2024-21410 بأقصى تصنيف خطورة يبلغ 9.1 من أصل 10، مما يجعلها ثغرة أمنية حرجة. قال كيف برين، المدير الأول لأبحاث التهديدات في Immersive Labs، إن الثغرات الأمنية المتصاعدة تميل عادةً إلى تسجيل نقاط منخفضة نسبيًا على مقياس تصنيف نقاط الضعف في CVSS، وهو ما يتناقض مع الطبيعة الحقيقية للتهديد الذي تمثله. وقال برين في بيان: "على الرغم من درجاتها المنخفضة، إلا أن ثغرات [تصعيد الامتيازات] مطلوبة بشدة من قبل الجهات الفاعلة في مجال التهديد وتستخدم في كل حادث سيبراني تقريبًا". "بمجرد أن يتمكن المهاجم من الوصول إلى حساب مستخدم من خلال الهندسة الاجتماعية أو أي هجوم آخر، فسوف يسعى بعد ذلك إلى تصعيد أذوناته إما إلى المسؤول المحلي أو مسؤول المجال."
تم تسليط الضوء على والترز من Action1 CVE-2024-21413، وهو عيب RCE في Microsoft Outlook باعتباره ثغرة أمنية قد يرغب المسؤولون في تحديد أولوياتها من مجموعة فبراير. يتضمن الخلل الخطير البالغ الحد الأقصى لدرجة الخطورة 9.8 تعقيدًا منخفضًا للهجوم، وعدم تفاعل المستخدم، وعدم الحاجة إلى امتيازات خاصة للمهاجم لاستغلاله. وقال والترز: "يمكن للمهاجم استغلال هذه الثغرة الأمنية عبر جزء المعاينة في Outlook، مما يسمح له بالتحايل على طريقة عرض Office المحمية وإجبار الملفات على الفتح في وضع التحرير، وليس في الوضع المحمي الأكثر أمانًا".
وقد حددت مايكروسوفت نفسها الثغرة الأمنية على أنها شيء أقل عرضة للهجوم من قبل المهاجمين. ومع ذلك، قال والترز إن الثغرة الأمنية تشكل تهديدًا كبيرًا للمؤسسات وتتطلب اهتمامًا سريعًا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
