قامت Microsoft بتصحيح اثنتين من نقاط الضعف في يوم الصفر التي تم استغلالها بشكل نشط في شهر فبراير التصحيح الثلاثاء – يتجاوز زوج من ميزات الأمان التي تؤثر على ملفات اختصار الإنترنت وWindows SmartScreen على التوالي – من إجمالي ما يزيد قليلاً عن 70 نقطة ضعف تم الكشف عنها في الانخفاض الثاني لعام 2024.
من بين المشكلات الأكثر إلحاحًا هذا الشهر، هناك ثغرات أمنية حرجة في Microsoft Dynamics وExchange Server وOffice وWindows Hyper-V وPragmatic General Multicast، على الرغم من عدم استخدام أي من هذه العيوب بشكل عام حتى الآن.
هيدرا الماء
يتم تعقب أول يومين من أيام الصفر على النحو التالي CVE-2024-21412 و كان اكتشفها باحثو تريند مايكرو. يبدو أنه يتم استخدامه لاستهداف متداولي العملات الأجنبية على وجه التحديد من قبل مجموعة يتم تتبعها باسم Water Hydra.
وفقًا لـ Trend Micro، تستفيد العصابة الإجرامية الإلكترونية من CVE-2024-21412 كجزء من سلسلة هجمات أوسع نطاقًا لتجاوز SmartScreen وتقديم حصان طروادة للوصول عن بُعد (RAT) يسمى DarkMe، على الأرجح كمقدمة لهجمات مستقبلية، ربما تتضمن برامج الفدية.
وأوضح سعيد عباسي، مدير المنتج لأبحاث الثغرات الأمنية في شركة Microsoft: “تمثل CVE-2024-21412 ثغرة أمنية حرجة تتميز بالاستغلال المتطور لـ Microsoft Defender SmartScreen من خلال ثغرة يوم الصفر”. كواليس وحدة أبحاث التهديدات.
“يتم استغلال هذه الثغرة الأمنية عبر ملف معد خصيصًا يتم تسليمه من خلال أساليب التصيد الاحتيالي، والذي يتلاعب بذكاء باختصارات الإنترنت ومكونات WebDAV لتجاوز عمليات التحقق الأمني المعروضة.
“يتطلب الاستغلال تفاعل المستخدم، ويجب على المهاجمين إقناع المستخدم المستهدف بفتح ملف ضار، مما يسلط الضوء على أهمية وعي المستخدم إلى جانب الدفاعات التقنية. وقال عباسي: “إن تأثير هذه الثغرة الأمنية عميق، مما يعرض الأمن للخطر ويقوض الثقة في آليات الحماية مثل SmartScreen”.
يوم الصفر الثاني، تم تتبعه كـ CVE-2024-21351، يشبه بشكل ملحوظ الأول من حيث أنه يؤثر في النهاية على خدمة SmartScreen. ومع ذلك، في هذه الحالة، فإنه يمكّن المهاجم من الالتفاف على عمليات التحقق التي يجريها لما يسمى بعلامة الويب (MotW) التي تشير إلى ما إذا كان الملف يمكن الوثوق به أم لا، وتنفيذ التعليمات البرمجية الخاصة به.
وقال عباسي: “يمكن أن يحدث هذا التجاوز مع الحد الأدنى من تفاعل المستخدم، ولا يتطلب سوى أن يفتح المستخدم ملفًا ضارًا”. “يشمل تأثير هذا الاستغلال إمكانية الوصول غير المصرح به إلى البيانات (بعض فقدان السرية)، والتلاعب الشديد بالبيانات أو إتلافها (فقدان تام للسلامة)، والتعطيل الجزئي لعمليات النظام (بعض فقدان التوفر).
“تكمن أهمية هذه الثغرة الأمنية في قدرتها على تقويض دفاع أمني حاسم ضد البرامج الضارة وهجمات التصيد، مما يؤكد على ضرورة قيام المستخدمين بتحديث أنظمتهم للتخفيف من المخاطر.”
الثغرات الحرجة
نقاط الضعف الخمس الحرجة هذا الشهر هي، حسب ترتيب أرقام مكافحة التطرف العنيف:
- CVE-2024-20684، ثغرة أمنية في رفض الخدمة (DoS) في Windows Hyper-V؛
- CVE-2024-21357، ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) في Windows Pragmatic General Multicast (PGM)؛
- CVE-2024-21380، ثغرة أمنية في الكشف عن المعلومات في Microsoft Dynamics Business Central/NAV؛
- CVE-2024-21410، ثغرة أمنية في رفع الامتيازات (EoP) في Microsoft Exchange Server؛
- CVE-2024-21413، ثغرة RCE في Microsoft Office.
من خلال تقييم نقاط الضعف الحرجة لهذا الشهر، ركز خبراء الأمن على CVE-2024-21410 في Microsoft Exchange على وجه الخصوص. كيف برين، مدير أول لأبحاث التهديدات في مختبرات غامرةقال إنه يجب أن يكون على رأس القائمة لأنه على الرغم من أنه لم يتم وضع علامة عليه على أنه مستغل بشكل نشط، إلا أنه من المرجح أن يتم استغلاله.
وقال: “تُعرف هذه الثغرة الأمنية المحددة باسم هجوم NTLM أو هجوم تمرير التجزئة، وهذا النمط من الهجوم هو المفضل لدى الجهات الفاعلة في مجال التهديد لأنه يسمح لهم بانتحال هوية المستخدمين في الشبكة”.
“الطريقة التي تعمل بها هذه الثغرة الأمنية هي أنه إذا كان المهاجم قادرًا على جمع تجزئة NTLM الخاصة بك، فسيكون لديه فعليًا الإصدار المشفر من كلمة المرور الخاصة بك ويمكنه تسجيل الدخول إلى خادم Exchange مثلك. تستدعي Microsoft على وجه التحديد الثغرات الأمنية السابقة مثل استغلال النقر الصفري لـ Outlook CVE-2023-35636 كإحدى الطرق التي يمكن للمهاجمين من خلالها الوصول إلى تجزئة NTLM هذه.
وقال: “سيكون المهاجمون ذوو الدوافع المالية سريعين في محاولة استخدام ذلك كسلاح لأنه يسمح بهجمات اختراق البريد الإلكتروني التجارية الأكثر إقناعًا حيث يمكنهم اعتراض وقراءة وإرسال البريد الإلكتروني الشرعي نيابة عن الموظفين، على سبيل المثال، من الرئيس التنفيذي أو المدير المالي”.
مايك والترز، الرئيس والمؤسس المشارك لشركة الإجراء1، لفت الانتباه إلى CVE-2024-21412 في Outlook، والذي يحمل تصنيف خطورة مرتفع للغاية يبلغ 9.8 على مقياس CVSS.
وقال: “تتميز الثغرة الأمنية بناقل الهجوم القائم على الشبكة، ولا تتطلب امتيازات خاصة أو تفاعل المستخدم للاستغلال ويمكن أن تؤثر بشكل كبير على السرية والنزاهة والتوافر”.
وقال والترز: “يمكن للمهاجم استغلال هذه الثغرة الأمنية عبر جزء المعاينة في Outlook، مما يسمح له بالتحايل على طريقة عرض Office المحمية وإجبار الملفات على الفتح في وضع التحرير، بدلاً من الوضع المحمي الأكثر أمانًا”.
وقال والترز إن التهديد الذي تشكله هذه الثغرة الأمنية كان كبيرًا، ومن المحتمل أن يمكّن المهاجم من رفع امتيازاته واكتساب القدرة على قراءة البيانات وكتابتها وحذفها. بالإضافة إلى هذا القلق، قد يسمح لهم أيضًا بصياغة روابط ضارة لتجاوز بروتوكول العرض المحمي، مما يؤدي إلى كشف بيانات اعتماد NTLM المحلية وربما تسهيل تنفيذ التعليمات البرمجية عن بعد. وعلى هذا النحو، ينبغي التعامل معها كأولوية.
