قامت Microsoft بإصلاح زوج من الثغرات الأمنية الخطيرة في ويندوز هايبر-V, واحدة تؤدي إلى تنفيذ التعليمات البرمجية عن بعد (RCE) إذا تم استغلالها، في تصحيح خفيف بشكل ملحوظ يوم الثلاثاء. تأتي الإصلاحات وسط تحديث رفيع المستوى يشتمل بالكاد على 60 نقطة ضعف وتعرض شائع (CVEs)، ولم يتم تصنيف أي منها على أنها صفر يوم.
على الرغم من أن ندرة التحديثات ستشكل مصدر ارتياح للفرق الأمنية، إلا أن توقيت هذا الانخفاض البسيط فاجأ البعض – كما لاحظ داستن تشايلدز من مبادرة Zero Day (ZDI) التابعة لشركة Trend Micro، مع اقتراب موعد مسابقة القرصنة السنوية Pwn2Own بعد ما يزيد قليلاً عن أسبوع، ربما كان المرء يتوقع أن يقوم Redmond بطرح تصحيحات أكثر من المعتاد.
قال مايك والترز، الرئيس والمؤسس المشارك لشركة إدارة التصحيح المتخصصة: “يمثل تصحيح الثلاثاء لهذا الشهر انخفاضًا في عدد الثغرات الأمنية الثابتة من Microsoft، بإجمالي 60، وهو انخفاض عن 74 تحديثًا الشهر الماضي”. الإجراء1.
“ومن اللافت للنظر أننا نشهد معالجة نقطتي ضعف خطيرتين فقط، وهو عدد أقل مما كان عليه الحال في شهر فبراير، مما يسلط الضوء على الاتجاه الإيجابي. ومن اللافت للنظر هذا الشهر عدم وجود أي ثغرات أمنية في يوم الصفر أو إثبات المفاهيم (PoCs)، مما يؤكد لحظة من الهدوء النسبي.
تم تتبع ثغرة RCE كـ CVE-2024-21407، يحمل درجة أساسية لـ CVSS تبلغ 8.1. لاستغلال ذلك، يحتاج المهاجم المعتمد على جهاز افتراضي ضيف (VM) إلى إرسال طلبات تشغيل ملفات مُصممة خصيصًا على الجهاز الظاهري إلى موارد الأجهزة الموجودة على الجهاز الظاهري، والتي قالت Microsoft إنها قد تؤدي إلى RCE على المضيف.
ومع ذلك، فإن الاستغلال الناجح سيتطلب أيضًا أن يكون لدى المهاجم معلومات محددة عن البيئة المستهدفة في متناول يده، ووفقًا لمايكروسوفت هناك عدد من الإجراءات الإضافية التي يتعين عليهم أيضًا اتخاذها لتليين الهدف، لذا فإن تعقيد الهجوم هو مرتفع جدا.
“حتى هذا الإعلان، لم يكن هناك أي إفصاحات عامة أو استغلال معروف لهذه الثغرة الأمنية. ومع ذلك، ونظرًا لخطورته الحاسمة وعواقبه المحتملة، فمن الضروري لمستخدمي Windows Hyper-V أن ينفذوا التحديثات المتوفرة على الفور للتخفيف من حدة التعرض.
“تنطبق هذه الثغرة الأمنية على الأنظمة التي تعمل بنظام Windows 10 والإصدارات الأحدث، بالإضافة إلى Windows Server 2012 والإصدارات الأحدث المجهزة بدور Hyper-V. ونحث المستخدمين على تطبيق التصحيح الرسمي من Microsoft للحماية من هذه المشكلة. بالإضافة إلى ذلك، يُنصح بشدة بالالتزام بأفضل الممارسات الخاصة بالأجهزة الافتراضية وأمن الخادم المضيف – مثل تقليل امتيازات المستخدم، وتضييق الوصول إلى الشبكة، والمراقبة اليقظة للأنشطة غير العادية -.
يتم تتبع الخلل الخطير الثاني في Windows Hyper-V على أنه CVE-2024-21408ويحمل درجة أساسية لـ CVSS تبلغ 5.5. إذا تركت هذه الميزة دون تحديد، فإنها تتيح إمكانية هجوم رفض الخدمة (DoS)، لكن تحديث Microsoft لا يقدم أي تفاصيل حول كيفية استغلالها.
تتضمن بعض المشكلات الأخرى الأكثر بروزًا هذا الشهر خللًا آخر في RCE في Microsoft Exchange Server، والذي تم تتبعه على أنه CVE-2024-26198، والذي لا يرقى إلى التصنيف على أنه بالغ الأهمية لأنه يتطلب خداع المستخدم لفتح ملف معد خصيصًا. بالإضافة إلى التصحيح، قد يرغب المدافعون أيضًا في مراجعة إعدادات أمان خادم البريد الإلكتروني الخاصة بهم، وتذكير المستخدمين بتوخي الحذر إذا تلقوا ملفات غير مرغوب فيها أو لم يتم التحقق منها.
ولأسباب مماثلة، قد ترغب فرق الأمان أيضًا في إعطاء الأولوية لثغرة SharePoint Server RCE، والتي يتم تتبعها على أنها CVE-2024-21426، والذي يتطلب استغلاله الناجح مرة أخرى من المستخدم فتح ملف ضار.
نقطة الضعف الأخرى عالية المخاطر هذا الشهر هي CVE-2024-21411، في Skype للمستهلك. عيب RCE مع درجة أساسية لـ CVSS تبلغ 8.8، يمكن استغلال هذه المشكلة إذا أرسل المهاجم رابطًا أو صورة ضارة عبر الرسائل الفورية، وحقيقة إمكانية العثور عليها في منتج استهلاكي مستخدم على نطاق واسع أمر مثير للقلق، على الرغم من أن لا توجد إفصاحات عامة معروفة أو عمليات استغلال نشطة.
الخروج مع OIT
وفي نفس الوقت الذي تم فيه تحميل التصحيح الرئيسي يوم الثلاثاء، أعلنت Redmond أيضًا عن إيقاف دعم Oracle خارج في التكنولوجيا مكتبات (OIT) في Exchange Server. مفصلة بالكامل في الاستشارة الأمنيةتبشر هذه الخطوة باستبدال OIT بـ “حل محسّن وحديث وداخلي لفحص الملفات”، والذي سيتم استخدامه افتراضيًا، على الرغم من أن العملاء سيكونون قادرين على إعادة تمكين OIT لبعض أنواع الملفات إذا لزم الأمر.
“إن الإيقاف عبارة عن عملية من ثلاث مراحل تبدأ بتحديث مارس 2024. تعمل المرحلة الأولى على تعطيل تقنية Oracle الداخلية (OIT) لجميع أنواع الملفات. ستقدم المرحلة الثانية حلاً بديلاً للمسح الضوئي. ستقوم المرحلة الثالثة بإزالة رمز OIT بالكامل من Exchange Server. وقال كريس جويتل، نائب رئيس إدارة المنتجات للمنتجات الأمنية في شركة “إن:” لم يتم الإعلان عن الأطر الزمنية للمرحلتين الثانية والثالثة في الاستشارة اعتبارًا من تاريخ النشر الأولي في 12 مارس 2024″. إيفانتي.
استعد للتمهيد الآمن
وبالنظر إلى تصحيح الثلاثاء المقبل، سلط Goettl الضوء أيضًا على مرحلة النشر الثالثة المخطط لها للتغييرات المرتبطة بـ CVE-2023-24932، ثغرة أمنية خطيرة في ميزة أمان Windows Secure Boot والتي تم تتبعها لأول مرة على أنها يوم صفر في مايو 2023.
وقال جويتل: “تناولت CVE تجاوزًا لميزة الأمان في Secure Boot التي تستخدمها مجموعة تمهيد BlackLotus UEFI”. “تم تنفيذ التغييرات في عملية مكونة من أربع مراحل، وكان من المقرر تنفيذ المرحلة الثالثة في تصحيح 9 أبريل 2024 يوم الثلاثاء أو في وقت لاحق.
“نتوقع أن يتم تنفيذ إجراءات التخفيف الجديدة في الشهر المقبل لمنع مديري التمهيد الضعفاء الإضافيين. قد يعني هذا أن لديك بعض العمل الذي يتعين عليك القيام به لإعداد الوسائط للتحديث. لمزيد من التفاصيل، انظر KB5025885“.
كان النهج متعدد المراحل ضروريًا لأن Secure Boot يتحكم بدقة شديدة في وسائط التمهيد التي يمكن تحميلها عند بدء تشغيل نظام التشغيل، لذلك إذا تم تطبيقه بشكل خاطئ، فقد يتسبب التحديث في حدوث مشكلات كبيرة، بل ويمنع الأنظمة من بدء التشغيل.
