تصحيح الثلاثاء: تقوم Microsoft بإصلاح الأيام الصفرية في Word وخدمة البث
مع بداية فصل الخريف وتحول أفكار الفرق الأمنية إلى ضباب وثمر يانع، تحديث تصحيح الثلاثاء من Microsoft يصل مع ضمانة تحول الأوراق، وهذا الشهر هناك نوعان من أيام الصفر تم استغلالهما بشكل نشط للنظر فيهما، وخمس نقاط ضعف تم تسجيلها بشكل حاسم تستحق الاهتمام، من إجمالي إجمالي يزيد عن 60 خطأ تم سحقه حديثًا.
تمثل ثغرة الأيام الصفرية لهذا الشهر ثغرة أمنية في الكشف عن المعلومات في برنامج Microsoft Word، حيث حصلت على درجة CVSS تبلغ 6.2 وتم تعيينها CVE-2023-36761، وارتفاع ثغرة الامتياز (EoP) في Microsoft Streaming Service Proxy، والتي تحمل درجة CVSS تبلغ 7.8 وتم تعيينها CVE-2023-36802.
وقد تم الإعلان عن أولهما ومن المعروف أنه تم استغلاله، ويتم استغلال الثاني دون إثبات عام للمفهوم، على الرغم من أن هذا سيأتي بالتأكيد في وقت قصير.
قال آدم بارنيت، مهندس البرمجيات الرئيسي في Rapid7، لموقع Computer Weekly إن الاستغلال الناجح لـ CVE-2023-36761 قد يؤدي إلى الكشف عن تجزئات Windows New Technology LAN Manager (NTLM)، مما يوفر لممثل التهديد الوسائل اللازمة لإجراء عملية تسلل. تمرير التجزئة الهجوم دون الحاجة إلى القوة الغاشمة للتجزئة.
قال بارنيت: “من الواضح أن Microsoft تشعر بالقلق إزاء التأثير المحتمل لـ CVE-2023-36761، نظرًا لأنها توفر تصحيحات ليس فقط للإصدارات الحالية من Word، ولكن أيضًا لـ Word 2013، الذي وصل إلى تاريخ انتهائه الممتد في أبريل 2023”. “في شهر مارس، قامت شركة Microsoft بتصحيح المشكلة CVE-2023-23397، ثغرة أمنية في Outlook أدت أيضًا إلى تسرب تجزئة NTLM، والتي حظيت باهتمام كبير في ذلك الوقت“.
ساتنام نارانغ، كبير مهندسي الأبحاث في يمكن الدفاع عنه، بالإضافة إلى ذلك: “لا يقتصر استغلال هذه الثغرة الأمنية على هدف محتمل يقوم بفتح مستند Word ضار، حيث إن مجرد معاينة الملف يمكن أن تؤدي إلى تشغيل الاستغلال.”
وفي الوقت نفسه، يمكن استخدام CVE-2023-36802 لمنح امتيازات على مستوى النظام من خلال الاستغلال الضار لبرنامج تشغيل kernel.
“لقد اكتشفت Microsoft عمليات استغلال واسعة النطاق، ولكنها ليست على علم بكود الاستغلال المتاح للعامة. يعد هذا أول ظهور لـ Patch Tuesday لخدمة Microsoft Streaming Service، ولكن مع اعتراف العديد من الباحثين من جميع أنحاء العالم في الاستشارة، فمن غير المرجح أن يكون الأخير. قال بارنيت: “إن تأكيد اليوم على الاستغلال البري قبل النشر يضمن أن هذا سيظل مجالًا مثيرًا للاهتمام”.
وأضاف نارانج: “[This] هو الارتفاع الثامن لثغرة امتيازات يوم الصفر التي يتم استغلالها بشكل عام في عام 2023. ونظرًا لأن المهاجمين لديهم عدد لا يحصى من الطرق لاختراق المؤسسات، فإن مجرد الوصول إلى النظام قد لا يكون كافيًا دائمًا، وهنا يصبح ارتفاع عيوب الامتيازات كبيرًا أكثر قيمة، وخاصة الأيام الصفرية.
مشاكل حرجة
تحمل الثغرات الخمس الحرجة التي تم الكشف عنها هذا الشهر درجات CVSS من 7.5 إلى 8.8، وتتضمن أربع مشكلات في تنفيذ التعليمات البرمجية عن بُعد (RCE) وعيبًا واحدًا في EoP. وبترتيب مكافحة التطرف العنيف، فهي:
ومن بين نقاط الضعف الحرجة هذه، يحذر المراقبون من أن خلل منصة تنسيق الحاويات مفتوح المصدر Azure Kubernetes يمكن أن يتصاعد إلى شيء أكثر خطورة.
نيكولاس سيميركيتش، مهندس الأمن السيبراني في مختبرات غامرةعلق قائلاً: “سيتمكن المهاجم الذي استغل هذه الثغرة الأمنية من الحصول على امتيازات إدارة المجموعة. إن الحصول على وصول المسؤول يعني أن المهاجم سيكون لديه السيطرة على المجموعة بأكملها ويمكن أن يؤدي إلى تعريض الخدمات للخطر أو تعطيلها. تجدر الإشارة إلى أن أي تطبيق موجود داخل المجموعة يجب أن يتبع إجراءات امتثال تنظيمية صارمة وصارمة، مثل PCI [Payment Card Industry]، قد يتسبب في انتهاكهم. وقد يؤدي ذلك إلى عواقب قانونية وضرر بالسمعة.
“بما أن تعقيد هذا الهجوم قد تم تصنيفه على أنه منخفض، فإن هذا يشير إلى أن المهاجم لن يحتاج إلى معرفة مسبقة كبيرة بمجموعة أو أنظمة Kubernetes لاستغلال هذه الثغرة الأمنية.
“على الرغم من أن تحديث خدمة Kubernetes يعد خطوة حاسمة في معالجة هذه الثغرة الأمنية، إلا أنه من الضروري أيضًا تنفيذ تدابير أمنية قوية ومراقبة أي نشاط مشبوه. بالإضافة إلى ذلك، من المهم أن تكون هناك خطة للاستجابة للحوادث للكشف بسرعة عن أي خروقات أمنية والتخفيف من آثارها لتقليل التأثير المحتمل.
إن نقاط الضعف الحرجة في Visual Studio – هناك خمس نقاط ضعف أخرى في نفس المنتج أقل خطورة – تستحق أيضًا الاهتمام الفوري، وفقًا لتوم بوير، مدير أمان المنتج في اوتوموكس.
“نظرًا لاستخدام Visual Studio على نطاق واسع بين المطورين، فإن تأثير مثل هذه الثغرات الأمنية يمكن أن يكون له تأثير الدومينو، مما يؤدي إلى نشر الضرر إلى ما هو أبعد من النظام الذي تم اختراقه في البداية. ولذلك، من الضروري تطبيق التصحيحات على الفور، مما يضمن بقاء بيئة التطوير الخاصة بك آمنة.
“تشكل ثغرات RCE وEoP في Visual Studio خطراً حقيقياً وكبيراً. يمكن أن يمنح هذا النوع من الثغرات الأمنية المهاجم القدرة على تشغيل تعليمات برمجية ضارة على نظامك، ومن المحتمل أن يكتسب السيطرة الكاملة على البيئة المتأثرة.
“في أسوأ السيناريوهات، قد يعني هذا سرقة أو إتلاف التعليمات البرمجية المصدرية الخاصة، أو إدخال أبواب خلفية، أو التلاعب الضار الذي يمكن أن يحول تطبيقك إلى منصة انطلاق لشن هجمات على الآخرين.”
موضوع لحن
أخيرًا هذا الشهر، كريستوفر بود سوفوس اكس اوبس أبرز CVE-2023-38146، ثغرة RCE في سمات Windows، وهي الميزة التي تتيح للمستخدمين تخصيص خلفية سطح المكتب ووضع الأيقونات. يمكن استغلاله من خلال استهداف المستخدمين بملف .theme تم إنشاؤه بشكل ضار وقد يشكل خطرًا على المستخدمين المستهلكين أكثر من مستخدمي المؤسسات.
“إن السمات، بطبيعتها، هي ميزة “ممتعة” للعديد من المستخدمين،” قال بود. “يستمتع الأشخاص بتخصيص مساحة العمل الخاصة بهم، لذلك يبحثون بنشاط عن سمات جديدة في متجر Microsoft الرسمي، أو يشاركون وينزلون السمات على شبكات الشركة، أو حتى ينتهي بهم الأمر عن غير قصد إلى موارد خارجية مشكوك فيها لتنزيلها.”