أصدرت Microsoft ما مجموعه 49 تصحيحًا جديدًا حدث تصحيح الثلاثاء الأول لعام 2024، ومعالجة مجموعة متنوعة من الثغرات الأمنية عبر مجموعة منتجاتها، من بينها خللان خطيران يؤثران على Windows Kerberos وWindows Hyper-V، ولكن لا توجد مشكلات في أيام الصفر أو Exchange.
هذا هو ثاني تصحيح خفيف نسبيًا يوم الثلاثاء – حيث عالجت Microsoft بالكاد 30 مشكلة في ديسمبر 2023، ولم تكن هناك مشكلات يوم الصفر لإزعاج فرق الأمان ومسؤولي النظام أيضًا.
يتم تتبع الثغرات الحرجة اثنين على النحو CVE-2024-20674 في نظام التشغيل Windows Kerberos و CVE-2024-20700 في نظام التشغيل Windows Hyper-V.
أولها هو وجود خلل في ميزة الأمان يمكن الاستفادة منه من خلال ما يسمى هجوم رجل في الوسط (MITM).، أو طريقة أخرى لانتحال الشبكة، ثم إرسال رسالة Kerberos ضارة إلى الجهاز الضحية متظاهرًا بأنه خادم مصادقة Kerberos الشرعي، ومن هناك الحصول على امتيازات إضافية على الأنظمة المقيدة.
وقال سعيد عباسي، مدير المنتجات لأبحاث الثغرات الأمنية في الشركة: “تتطلب الثغرة الأمنية أن يكون لدى المهاجم إمكانية الوصول إلى نفس الشبكة المحلية التي يستخدمها الهدف”. وحدة أبحاث التهديدات Qualys. “لا يمكن استغلالها عن بعد عبر الإنترنت ولكنها تتطلب القرب من الشبكة الداخلية.
“وأيضًا، يمكن أن ينتشر هذا الاختراق إلى مناطق لا تتم إدارتها بشكل مباشر من خلال بروتوكولات الأمان الخاصة بالنظام المخترق. هناك احتمال كبير لمحاولات استغلال نشطة في المستقبل القريب.
وقال عباسي: “بعيدًا عن التصحيح القياسي، فكر في تعزيز قدرات مراقبة الشبكة”. “ابحث عن الأنماط غير العادية أو الحالات الشاذة في حركة مرور الشبكة التي قد تشير إلى هجوم MITM أو حركة مرور Kerberos غير المصرح بها.”
الثغرة الحرجة الثانية هي خلل في تنفيذ التعليمات البرمجية عن بعد (RCE)، والذي تم وصفه بشكل أكثر غموضًا من قبل Microsoft ويبدو أنه من الصعب استغلاله، لأنه يتوقف على فوز ممثل التهديد بشرط سباق للاستفادة منه بنجاح، على الرغم من أنه من ثم لا يحتاج إلى مزيد من الامتيازات أو تفاعل المستخدم.
مايك والترز، الرئيس والمؤسس المشارك لـ الإجراء1وقال إن الثغرة الأمنية كان لها آثار على سرية وسلامة وتوافر النظام المستهدف.
وقال: “يمكن للاستغلال أن يمكّن المهاجم من تشغيل تعليمات برمجية عشوائية بامتيازات مضيف Hyper-V، مما قد يعرض النظام بأكمله للخطر”.
“[But] اعتبارًا من النشر الأولي، لم يكن هناك أي كشف عام أو حالات مؤكدة لاستغلال هذه الثغرة الأمنية. إن نضج أي كود استغلال لا يزال غير مثبت.
قابلني في المنتصف
يتم تتبع الثغرة الأمنية الثالثة ذات الأهمية الخاصة لشهر يناير على أنها CVE-2024-0056، ميزة أمان لتجاوز الثغرة الأمنية في Microsoft.Data.SqlClient وSystem.Data.Sql Client SQL Data Provider، وهو عيب آخر يمكن استغلاله من خلال هجوم MITM – وهو سيناريو حيث يعترض ممثل التهديد الرسائل بين نظامين يعتقدان أنهما يتواصلان معهما واحد اخر.
وقال عباسي من كواليس: “في حالة استغلالها، يمكن للمهاجم فك تشفير أو قراءة أو تعديل حركة مرور TLS الآمنة، مما ينتهك سرية البيانات وسلامتها”. “وأيضًا، يمكن للمهاجم الاستفادة منه لاستغلال SQL Server من خلال موفر بيانات SQL، مما قد يؤثر على SQL Server نفسه.
وقال: “إن الاستغلال الناجح لهذه الثغرة الأمنية قد لا يقتصر على المكون الذي تم اختراقه في البداية”. “ومع ذلك، فإن التعقيد الكبير للهجوم يعني أن الاستفادة من هذه الثغرة الأمنية هي مهمة معقدة. إذا تم استغلال هذه الثغرة الأمنية، فقد تؤدي إلى اختراق البيانات، وتعريض سلامة البيانات للخطر، وتؤدي إلى الوصول غير المصرح به إلى المعلومات الحساسة.
وكخطوة إضافية، نصح عباسي المدافعين بتعزيز أمان الشبكة لجعل هجمات MITM أكثر تعقيدًا باستخدام بروتوكولات الشبكة الآمنة والمراقبة المحسنة وقواعد جدار الحماية الأكثر قوة.
نهاية السطر
يمثل تصحيح يوم الثلاثاء 2024 لشهر يناير أيضًا النقطة التي ينتقل عندها عدد من منتجات وخدمات Microsoft من الدعم الأمني السائد ويدخل في الدعم الموسع.
يتضمن ذلك Exchange Server 2019 وHyper-V Server 2019 وSharePoint Server 2019 وعملاء وخوادم Skype for Business 2019 وDynamics SL 2018 وProject Server 2019، بالإضافة إلى أجزاء من Windows 10: Enterprise LTSC 2019 وIoT Core LTSC 2019 وIoT LTSC 2019 Core وWindows Server 2019 وWindows Server IoT 2019 وWindows Server IoT 2019 للتخزين.
“خلال مرحلة دورة حياة الدعم الممتدة، تستمر Microsoft في توفير التحديثات الأمنية، ولكنها لا تصدر عادةً ميزات جديدة. قال الدعم الموسع غير متوفر لمنتجات Microsoft الاستهلاكية سريع7 مهندس البرمجيات الرئيسي آدم بارنيت.
