بعد عام لم يشهد نهاية لنقاط الضعف الحرجة في منتجات وخدمات Microsoft، قدم Redmond مكافأة عيد الميلاد المبكرة لفرق الأمن السيبراني في التصحيح الأخير الثلاثاء لعام 2023، في شكل أحد أخف التحديثات في الذاكرة الحديثة، مع إدراج 34 نقطة ضعف ونقاط تعرض شائعة (CVEs) فقط.
ويأتي هذا الانخفاض الطفيف في نهاية عام 2023 النشط للغاية والذي شهد قيام فرق الأمان في Microsoft بمعالجة 909 من التهديدات الخطيرة في المجموع، بانخفاض طفيف عن عام 2022، من بينها 23 يومًا خطيرًا.
وقال: “يبدو أن مايكروسوفت كانت تشعر بالاحتفال بشكل خاص وأرادت منح المسؤولين في جميع أنحاء العالم فترة راحة في موسم العطلات هذا”. فورترا المدير الأول لأبحاث الأمن والتطوير، تايلر ريجولي.
“لحسن الحظ، لم يبرز أي من هذه النقاط على أنها نقاط ضعف مفرطة؛ إنه أكثر من نموذجي رقعة يوم الثلاثاء أجرة. وبصراحة، هذا رقعة يوم الثلاثاء ممل، وهذا هو أفضل نوع من رقعة يوم الثلاثاء،” أضاف.
آدم بارنيت, سريع7 قال كبير مهندسي البرمجيات: “قد يبدو تصحيح يوم الثلاثاء لشهر ديسمبر بمثابة هدية موسمية مبكرة لفرق الأمن مع عدد صغير من التصحيحات ولم يتم الإبلاغ عن أي منها على أنها مستغلة في البرية، ولكن هذا لا يعني أنه يجب على أي شخص أن يشعر بالراحة مع كوب من التصحيحات المدروسة خمر.
“لقد تم تحديد عدد من التصحيحات التي تم إصدارها على أنها “أكثر عرضة للاستغلال”، وكما رأينا على مدى السنوات العديدة الماضية، يسارع المهاجمون إلى استغلال التصحيحات التي تم إصدارها حديثًا، حيث يبلغ متوسط الوقت من التصحيح إلى الاستغلال سبعة أيام .
“هذا لا يعني أنه يجب نشر جميع هذه التصحيحات على الفور، ولكن يجب على فرق الأمان مراجعتها وفهم المخاطر التجارية المحتملة ونشرها حسب الحاجة للتخفيف من المخاطر.”
تحديثات مكافحة التطرف العنيف الحرجة
على الرغم من التحميل الخفيف، فإن آخر تحديث لـ Patch Tuesday يحتوي على أربعة تحديثات جديدة لـ CVEs الحرجة، بالإضافة إلى عيب AMD الذي ينحرف بالقرب من منطقة الصفر اليوم.
العيوب الحرجة هي بالترتيب العددي:
- CVE-2023-35628، ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) في Windows MSHTML Platform، مع درجة CVSS تبلغ 8.1؛
- CVE-2023-35630، ثغرة RCE في مشاركة اتصال الإنترنت بدرجة CVSS تبلغ 8.8؛
- CVE-2023-35641، على النحو الوارد أعلاه؛
- و CVE-2023-36019، ثغرة أمنية انتحالية في Microsoft Power Platform Connector، مع درجة CVSS تبلغ 9.6.
وبتطبيق القاعدة على هذه، قال برين: “يصف CVE-2023-35628 ثغرة RCE الحرجة في محرك المتصفح الخاص MSHTML الذي لا يزال يستخدمه Outlook، من بين أمور أخرى، لعرض محتوى HTML. تجدر الإشارة إلى أن سيناريو الاستغلال الأكثر إثارة للقلق يؤدي إلى الاستغلال بمجرد قيام Outlook باسترداد ومعالجة البريد الإلكتروني الضار المصمم خصيصًا.
“وهذا يعني أن الاستغلال يمكن أن يحدث قبل أن يتفاعل المستخدم مع البريد الإلكتروني بأي شكل من الأشكال؛ وقال: “لا يلزم حتى جزء المعاينة في هذا السيناريو”. “توجد نواقل هجوم أخرى: يمكن للمستخدم أيضًا النقر فوق رابط ضار يتم استلامه عبر البريد الإلكتروني أو الرسائل الفورية أو أي وسيلة أخرى. الأصول التي تم تعطيل Internet Explorer 11 فيها بالكامل لا تزال معرضة للخطر حتى يتم تصحيحها؛ يظل محرك MSHTML مثبتًا داخل Windows بغض النظر عن حالة IE11.
“يأتي هذا الشهر أيضًا بتصحيحات لزوج من ثغرات RCE الحرجة في مشاركة اتصال الإنترنت. تشترك CVE-2023-35630 وCVE-2023-35641 في عدد من أوجه التشابه: درجة CVSS v3.1 الأساسية البالغة 8.8، وتصنيف الخطورة الحرجة من Microsoft، وانخفاض تعقيد الهجوم، والتنفيذ المفترض في سياق النظام على الجهاز المستهدف، على الرغم من التحذيرات لا تحدد سياق التنفيذ. ومع ذلك، فإن وصف طريقة الاستغلال يختلف بين الاثنين.
“مشابه إلى حد كبير ثغرة أمنية في ICS في سبتمبر 2023 قال برين: “أدى إلى RCE في سياق النظام على خادم ICS”. “في جميع الحالات الثلاث، يتمثل العامل المخفف في الحاجة إلى إطلاق الهجوم من نفس قطاع الشبكة مثل خادم ICS. يبدو من غير المحتمل أن تكون أي من ثغرات ICS لهذا الشهر قابلة للاستغلال ضد هدف لا يعمل عليه ICS، على الرغم من أن Microsoft لا تنكر هذا الاحتمال صراحةً.
وفي الوقت نفسه، قال مايك والترز، الرئيس والمؤسس المشارك لشركة الإجراء1، تم التنقيب تحت غطاء الخلل الرابع الحاسم في Microsoft Power Platform Connector. وأضاف: “تسمح هذه الثغرة الأمنية، التي تنطوي في المقام الأول على الانتحال، للمهاجم بخداع المستخدم من خلال إخفاء رابط أو ملف ضار على أنه رابط أو ملف شرعي”. “تحتوي الثغرة الأمنية على ناقل هجوم قائم على الشبكة، وهي منخفضة في تعقيد الهجوم، ولا تتطلب امتيازات النظام، ولكنها تتطلب تفاعل المستخدم لاستغلالها.
وقال والترز: “هذه الثغرة الأمنية الخاصة خاصة بمنصة Microsoft Power Platform وتطبيقات Azure Logic”. “وبالتالي، إذا كنت لا تستخدم هذه التطبيقات، فإن أنظمتك ليست في خطر.”
وأخيرا ثغرة AMD CVE-2023-20588، هو عيب محتمل في الكشف عن المعلومات في بعض معالجات AMD ناشئ عن أ خطأ القسمة على صفر والتي يمكن أن تمكن من إرجاع البيانات التخمينية.
هذه الثغرة الأمنية عامة، لكن لا أحد على علم بأي عمليات استغلال نشطة، وإذا تم الكشف عن البيانات بواسطتها، فقد لا يتم امتيازها لأن المهاجم لا يمكنه التحكم في عملية التقسيم المتزعزعة.
تم تضمين هذه الثغرة الأمنية في تحديث Patch Tuesday لأنها تتطلب تحديث Windows، وتم تصنيفها على أنها مهمة على نطاق ملكية Microsoft. يعمل التصحيح على إصلاح المشكلة على مستوى نظام التشغيل في كافة إصدارات Windows المدعومة والتي يعود تاريخها إلى Windows Server 2008 للأصول المستضافة على Azure والمسجلة في نظام Extended Security Update.
عام من الإثارة
شهد هذا العام معالجة Microsoft لما مجموعه 909 من التهديدات الخطيرة، والتي كانت في الواقع منخفضة (وإن كان بنسبة أقل من 1%) في عام 2022، حيث كان شهر يوليو هو الشهر الأكثر ازدحامًا، حيث تم حل 130 عيبًا. وشهد شهر أكتوبر أيضًا معالجة أكثر من 100 من تحديات التطرف العنيف، لكن عام 2023 شهد أيضًا أربعة أشهر تم فيها حل أقل من 60 من تحديات التطرف العنيف: مايو، وسبتمبر، ونوفمبر، وديسمبر.
تم تصنيف أكثر من 90% من العيوب الـ 909 التي تم حلها هذا العام على أنها مهمة، مع تصنيف 9.6% منها على أنها حرجة، وهو ما يعادل تقريبًا عام 2022، مع تمكين نقاط الضعف الأكثر شيوعًا من RCE (36%)، وEoP (26%)، والمعلومات. الإفصاح (12.5%).
تمت معالجة إجمالي 23 ثغرة أمنية خلال عام 2023، مع أكثر من نصف هذه الأخطاء المتعلقة برفع الامتيازات، والتي يفضلها بشكل خاص الجهات الفاعلة المدعومة من الدولة ومجرمي الإنترنت. ربما كان أبرزها CVE-2023-23397، مصححة في مارس واستغلها الممثل الروسي على نطاق واسع جدًا في الأشهر التالية المعروف باسم فانسي بير.
قال ساتنام نارانغ، كبير مهندسي الأبحاث في Tenable: “على الرغم من الإيقاع الشهري الروتيني لبرنامج Patch Tuesday، فإن استمرار الثغرات الأمنية المعروفة يتطلب جهودًا تنظيمية مستمرة”.
“ظل تصحيح يوم الثلاثاء لهذا العام مليئًا بالأحداث، حيث تميز بوجود العديد من عيوب يوم الصفر ونقاط الضعف الحرجة التي تشمل العديد من منتجات Microsoft. وهذا يسلط الضوء على التحديات المستمرة في الحفاظ على الأمن السيبراني القوي على الرغم من إصدارات التصحيح المنتظمة.
