أصدرت Microsoft إصلاحات لما مجموعه خمس ثغرات يوم الصفر في التصحيح قبل الأخير يوم الثلاثاء لعام 2023، ومن المعروف أن ثلاثة منها قد تم استغلالها بالفعل.
مع ما يزيد قليلاً عن 60 مشكلة تم حلها هذا الشهر، فإن انخفاض تصحيح يوم الثلاثاء لشهر نوفمبر ليس بأي حال من الأحوال هو الأكبر في الأشهر الأخيرة ويتراوح عبر عدد أقل من المنتجات مما يُرى عادةً.
يتم تتبع أيام الصفر الثلاثة المستغلة على أنها CVE-2023-36025، تجاوز ميزة الأمان في Windows SmartScreen؛ CVE-2023-36033، زيادة ثغرة الامتياز (EoP) في مكتبة Windows DWM الأساسية؛ و CVE-2023-36036، ثغرة EoP في برنامج تشغيل Windows Cloud Files Mini Filter. ومن بين هذه الثغرات، تم الكشف علنًا عن برمجية إكسبلويت للثانية، وقد نجحت الثلاثة جميعًا في الوصول إلى CISA نقاط الضعف المستغلة المعروفة قاعة الشهرة.
أما اليومان الصفران الآخران ــ اللذان تم الإعلان عنهما ولكن لم يتم استغلالهما بعد ــ فهما كذلك CVE-2023-36038، ثغرة أمنية في رفض الخدمة في ASP.NET Core، و CVE-2023-36413، وهي ميزة تجاوز الأمان في Microsoft Office.
أربعة من أصل خمسة تحمل درجات CVSS تزيد عن 7، مما يجعلها ذات خطورة عالية وفقًا لهذا المقياس، في حين أن مشكلة Microsoft Office تحمل درجة أقل تبلغ 6.5، مما يعني أنها تعتبر شديدة الخطورة.
هناك أيضًا ثلاثة أخطاء خطيرة، على الرغم من عدم الكشف عن أي منها أو استغلالها حتى الآن. يتم تعقب هذه كما CVE-2023-36052، ثغرة أمنية في الكشف عن المعلومات في Azure CLI Rest Command؛ مكافحة التطرف العنيف-2023-36397 ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) في Windows Pragmatic General Multicast؛ و CVE-2023-36400، ثغرة EoP في اشتقاق مفتاح Windows HMAC.
من خلال النظر إلى أيام الصفر المستغلة، آدم بارنيت، مهندس البرمجيات الرئيسي في سريع7قال: “يصف CVE-2023-36025 تجاوز ميزة أمان Windows SmartScreen. يمكن للمهاجم الذي يقنع المستخدم بفتح ملف اختصار إنترنت ضار معد خصيصًا أن يتجاوز الحماية من التصيد الاحتيالي والبرامج الضارة التي يوفرها Windows SmartScreen. ويمكن إساءة استخدام هذا كمرحلة مبكرة في سلسلة هجمات أكثر تعقيدًا.
“تم تقديم Windows Dynamic Window Manager (DWM) في الأصل في نظام التشغيل Windows Vista، وهو يتيح العديد من ميزات واجهة المستخدم الحديثة التي يتوقعها المستخدمون من نظام التشغيل Windows. هذا الشهر، تتلقى مكتبة DWM الأساسية تصحيحًا لـ CVE-2023-36033… يؤدي الاستغلال إلى امتيازات النظام، لكن Microsoft لا تقدم أي إرشادات إضافية حول آلية الهجوم.
تفاصيل أقل عن الثغرة الأمنية الثالثة المستغلة، CVE-2023-36035، معروفة في هذه المرحلة، على الرغم من أنها تمنح المهاجم أيضًا امتيازات على مستوى النظام، وهي خطوة متكررة على طول المسار الذي يسلكه المهاجمون أثناء سعيهم لتعطيل أدوات الأمان أو تشغيل تفريغ بيانات الاعتماد أدوات – مثل mimikatz – في خدمة الحركة الجانبية.
بالنظر إلى أيام الصفر الأخرى، مايك والترز، الإجراء1 علق المؤسس المشارك والرئيس قائلاً: “يمثل CVE-2023-36038 ثغرة أمنية كبيرة في ASP.NET Core، وهو قادر على التسبب في رفض الخدمة. تعتبر هذه الثغرة الأمنية جديرة بالملاحظة بسبب توجه الهجوم على الشبكة، وانخفاض تعقيد الهجوم، وحقيقة أنها لا تتطلب أي امتيازات أو تفاعل المستخدم للاستغلال.
“يمكن تشغيل الثغرة الأمنية عند إلغاء طلبات HTTP إلى .NET 8 RC 1، التي تعمل على نموذج استضافة IIS InProcess. يمكن أن يؤدي هذا إلى زيادة في عدد سلاسل الرسائل ومن المحتمل أن يتسبب في حدوث OutOfMemoryException. قد يؤدي الاستغلال الناجح لهذه الثغرة الأمنية إلى فقدان كامل لتوفر الخدمة.
وقال ووترز إن هذه المشكلة يجب أن تكون على رأس القائمة بسبب خطر توقف مواقع الويب التي تشغل المكتبة الضعيفة، والتي يمكن أن تصبح بسهولة عرضة لهجوم رفض الخدمة الموزعة (DDoS) نتيجة لذلك.
وأوضح أن CVE-2023-36413 يمكن أن يصبح مشكلة كبيرة في وقت قصير نظرًا لإمكانية استغلاله العالية: “إنه يحتوي على ناقل هجوم على الشبكة ويتميز بانخفاض تعقيد الهجوم. على الرغم من أنه لا يتطلب امتيازات عالية المستوى، إلا أن تفاعل المستخدم ضروري للاستغلال.
“أحد الجوانب الرئيسية لهذه الثغرة الأمنية هو أنها تسمح للمهاجمين بالتحايل على العرض المحمي لـ Office، مما يتسبب في فتح المستندات في وضع التحرير بدلاً من الوضع المحمي الأكثر أمانًا. على الرغم من أن مايكروسوفت أكدت وجود دليل على المفهوم، إلا أنه لا يوجد حاليًا أي دليل ملموس على استغلال هذه الثغرة الأمنية بشكل عام. وقال والترز إن هذا الفهم الدقيق للتأثير المحتمل للثغرة الأمنية أمر ضروري لتحديد أولويات التدابير الأمنية.
زقزقة مشكلة PEAP
وفي مكان آخر، لفت مراقبون آخرون الانتباه إلى بعض المشكلات الأخرى الأكثر خطورة التي تم تصحيحها هذا الشهر والتي لا تستوفي بالضرورة المعايير المهمة لتصبح يوم الصفر.
لفتت انتباه ناتاليا سيلفا، مهندسة محتوى الأمن السيبراني الرئيسية في مختبرات غامرة، كان CVE-2023-36028، وهو عيب RCE في بروتوكول المصادقة القابل للتوسيع المحمي لـ Microsoft (PEAP)، والذي يُستخدم كإطار مصادقة آمن في الشبكات اللاسلكية. يحمل هذا درجة CVSS تبلغ 9.8، مما يجعلها على نفس القدر من الأهمية.
“يمكن استغلال هذه الثغرة الأمنية من قبل مهاجم غير مصادق يستهدف خادم Microsoft PEAP عن طريق إرسال حزم PEAP الضارة المصممة خصيصًا عبر الشبكة. وأوضح سيلفا أن هذا يعني أن المهاجم لا يحتاج إلى أي بيانات اعتماد أو مصادقة قبل شن هذا الهجوم.
“إذا نجح المهاجم في الاستغلال، فيمكن للمهاجم تنفيذ التعليمات البرمجية على خادم PEAP المستهدف. قد يكون التأثير الثانوي هو الوصول غير المصرح به إلى البيانات، أو التلاعب بالبيانات، أو أي إجراءات ضارة أخرى.
“تم منح CVE-2023-36028 درجة عالية من CVSS تبلغ 9.8. ومع ذلك، فإن تقييم مايكروسوفت للاستغلال هو أن الاستغلال أقل احتمالا. وأضافت: “قد يكون هذا بسبب مزيج من تعقيد الاستغلال وتكرار العثور على PEAP قيد النشر”.
تاريخيًا، شهد برنامج Patch Tuesday أيضًا عيبًا واحدًا على الأقل في RCE في سطح Exchange، ونوفمبر 2023 ليس استثناءً من هذا الاتجاه. خطوة إلى الأمام CVE-2023-36439، والذي يمنح امتيازات التنفيذ على مستوى النظام على مضيف خادم Exchange.
وقال كيف برين، كبير مديري أبحاث التهديدات في شركة Immersive: “تشير ملاحظات التصحيح إلى أن المهاجم يجب أن يكون موثقًا ومحليًا على الشبكة، مما يعني أن المهاجم يجب أن يكون قد تمكن بالفعل من الوصول إلى مضيف في الشبكة”.
“يتم تحقيق ذلك عادةً من خلال هجمات الهندسة الاجتماعية باستخدام التصيد الاحتيالي للوصول الأولي إلى المضيف قبل البحث عن أهداف داخلية أخرى معرضة للخطر – فمجرد عدم توفر خادم Exchange الخاص بك على مصادقة مواجهة للإنترنت لا يعني أنه محمي.
ولاحظ أنه “إذا حصل أحد المهاجمين على هذا المستوى من الوصول إلى خادم تبادل، فيمكن أن يلحق الكثير من الضرر بالمؤسسة”.
تعاني منصة Exchange أيضًا من ثلاث ثغرات أمنية في انتحال الخادم CVE-2023-36035, CVE-2023-36039، و CVE-2023-36050، وكلها تتطلب أن يكون المهاجم قد وصل بالفعل إلى الشبكة المحلية وأن يحتفظ ببيانات اعتماد صالحة، ولكن يمكن أن يؤدي في النهاية إلى كشف بيانات الاعتماد أو تجزئة NTLM للمستخدمين الآخرين. وقال برين إنه إذا أخذنا جنبًا إلى جنب مع خطأ RCE، فيجب أن تكون هذه العناصر على رأس قائمة الأولويات لأي شخص يقوم بتشغيل Exchange Server داخل الشركة.
