يجب أن تكون الثغرة الأمنية الخطيرة التي تؤثر على Microsoft SharePoint Server وعيبين صفريين في Windows MSHTML Platform والمكتبة الأساسية لـ Windows Desktop Window Manager (DWM) في مقدمة اهتمامات المسؤولين، حيث تقوم Microsoft بإصدار تقريرها الشهري التصحيح الثلاثاء التحديث يعالج أكثر من 60 خطأ ومشكلة.
عيب SharePoint Server – الذي يمثل الثغرة الأمنية الخطيرة الوحيدة في مايو 2024 – هو ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) يتم تتبعها على أنها CVE-2024-30044. لم يتم الإعلان عن تفاصيلها بعد، ولا يبدو أنه تم استغلالها في البرية.
وقالت مايكروسوفت إنه إذا حصل مهاجم مصادق عليه على أذونات مالك الموقع، فيمكنه استغلال CVE-2024-30044 لتحميل ملف معد خصيصًا إلى الخادم الضحية وإنشاء طلبات واجهة برمجة تطبيقات متخصصة (API) لبدء إلغاء تسلسل معلمات الملف. وبهذه الطريقة، يمكنهم بعد ذلك تحقيق RCE في سياق الخادم المخترق.
أوضح مايك والترز، الرئيس والمؤسس المشارك لشركة CVE-2024-30044، أن حقيقة أن CVE-2024-30044 تنبع من مشكلة إلغاء تسلسل البيانات غير الموثوق بها تجعلها مشكلة بشكل خاص. الإجراء1لأنه يسمح للمهاجمين بإدخال وتنفيذ تعليمات برمجية عشوائية أثناء عملية إلغاء التسلسل.
قال والترز: “يمكن للمهاجم الذي لديه أذونات Site Viewer الأساسية الاستفادة من هذه الثغرة الأمنية لتنفيذ التعليمات البرمجية عن بُعد، وتمكين أنشطة مثل نشر أغطية الويب، أو تثبيت البرامج الضارة، أو استخراج البيانات الحساسة”. “إذا تمكن المهاجم من الوصول الأولي من خلال وسائل أخرى، مثل التصيد الاحتيالي أو أي ثغرة أمنية أخرى، فيمكنه استخدام CVE-2024-30044 لإنشاء موطئ قدم أكثر ثباتًا وقوة داخل الشبكة.
وقال: “إن الجمع بين هذه الثغرة الأمنية وأخرى تسمح بتصعيد الامتيازات يمكن أن يمكّن المهاجمين من الانتقال من الوصول الأولي إلى التحكم الإداري الكامل”.
“وهذا يمكن أن يسهل الاستمرارية داخل الشبكة ويجعل الكشف أكثر صعوبة. عند إنشاء السيطرة، يمكن للمهاجمين استخدام أدوات إضافية لاستخراج البيانات الحساسة من SharePoint Server، مما قد يؤدي إلى حدوث انتهاكات كبيرة للبيانات. بالإضافة إلى ذلك، بمجرد تنفيذ التعليمات البرمجية عن بعد، قد تقوم جهات التهديد بنشر برامج الفدية لتشفير الملفات الهامة على SharePoint Server، والمطالبة بفدية مقابل مفاتيح فك التشفير.
ربط الكائنات وتضمينها
عيبا يوم الصفر هذا الشهر هما CVE-2024-30040وميزة أمان لتجاوز الثغرة الأمنية في Windows MSHTML Platform و CVE-2024-30051، ارتفاع ثغرة الامتياز (EoP) في مكتبة Windows DWM الأساسية.
في أولها، كشفت Microsoft كيف أنها تسمح بشكل أساسي لممثل ضار بتجاوز حماية ربط الكائنات وتضمينها (OLE) في Microsoft 365 وMicrosoft Office عن طريق جعل المستخدم يقوم بتحميل ملف ملوث على نظام ضعيف عبر بريد إلكتروني تصيدي أو رسالة فورية. وإقناعهم بالتلاعب به، ولكن ليس بالضرورة النقر عليه أو فتحه. وهذا من شأنه أن يمنح المهاجم غير المصادق القدرة على تنفيذ تعليمات برمجية عشوائية تظهر على أنها الضحية.
الدجالون لققبوت
وفيما يتعلق بثغرة Windows DWM Core Library، قالت Microsoft إنها ستمكن المهاجم من الحصول على امتيازات على مستوى النظام على نظام الضحية، لكنها قدمت القليل من السياق أو التفاصيل الإضافية. من المعروف أنها تنبع من تجاوز سعة المخزن المؤقت القائم على الكومة، مما يجعلها خطيرة للغاية، كما يمكن استغلالها من قبل مستخدم محلي يتمتع بامتيازات منخفضة نسبيًا.
من بين يومي الصفر، كان CVE-2024-30051 هو الذي أثار اهتمامًا كبيرًا بين خبراء الإنترنت، بسبب ارتباطه التاريخي بتهديد سيء السمعة.
تايلر ريجولي، مدير أول لأبحاث الأمن والتطوير في فورتراوأوضح: “سيتحدث الجميع هذا الشهر عن CVE-2024-30051 لأنه من المعروف أنه يتم استخدامه في QakBot والبرامج الضارة الأخرى. هذا تحديث يجب تطبيقه في أقرب وقت ممكن نظرًا لطبيعة الثغرة الأمنية وحقيقة أنه تم تأكيد الاستغلال في العالم الحقيقي.”
Qakbot عبارة عن برنامج ضار مصرفي يعود تاريخه إلى أكثر من عقد من الزمن. وقد أصبح مؤخرًا شائعًا بين مجرمي الإنترنت باعتباره حصان طروادة للوصول عن بُعد (RAT) الذي تم استخدامه بشكل كبير من قبل عصابات برامج الفدية مثل LockBit وREvil.
وتمت إزالة بنيتها التحتية في أغسطس 2023 في عملية يقودها مكتب التحقيقات الفيدرالي أُطلق عليها اسم عملية Duck Hunt، ولكن اعتبارًا من فبراير 2024، أفاد باحثون من فريق Sophos X-Ops أن شخصًا لديه حق الوصول إلى كود مصدر Qakbot يبدو أنه يختبر بنيات جديدة وبذل جهود متضافرة لتشديد تشفير البرامج الضارة، مما يعني أن المتغير الجديد يمكن أن يتحدى التحليل بشكل أكثر فعالية.
تم اكتشاف الثغرة بواسطة كاسبيرسكي الباحثون في بداية أبريل، عندما لفتت انتباههم وثيقة مشبوهة تم العثور عليها على موقع VirusTotal. ألمح المستند، المكتوب بلغة إنجليزية ركيكة ويفتقد إلى تفاصيل مهمة، إلى وجود ثغرة أمنية محتملة في نظام التشغيل Windows، لكن سلسلة الاستغلال بدت مطابقة لتلك المستخدمة لتنشيط يوم الصفر السابق. CVE-2023-36033.
للاشتباه في أن الخلل إما خيالي أو هراء غير قابل للاستغلال، اختار فريق كاسبرسكي إجراء مزيد من التحقيق فيه، وسرعان ما اكتشفوا وأبلغوا عن حقيقة أن CVE-2023-30051 كان حقيقيًا. ومنذ ذلك الحين، قام الفريق بمراقبة استخدامه، وقال اليوم إن هناك برمجية استغلالية منتشرة منذ منتصف أبريل.
وقال بوريس لارين، الباحث الأمني الرئيسي في Kaspersky GReAT: “لقد وجدنا الوثيقة الموجودة على VirusTotal مثيرة للاهتمام نظرًا لطبيعتها الوصفية، وقررنا إجراء المزيد من التحقيق، مما دفعنا إلى اكتشاف ثغرة اليوم الصفري الحرجة هذه”. “إن السرعة التي تقوم بها الجهات الفاعلة في مجال التهديد بدمج هذا الاستغلال في ترسانتها تؤكد أهمية التحديثات في الوقت المناسب واليقظة في مجال الأمن السيبراني.”
وقالت Kaspersky إنها تخطط لإصدار المزيد من التفاصيل الفنية لـ CVE-2024-30051 بمجرد مرور الوقت الكافي حتى يتمكن المستخدمون الضعفاء من التحديث.
وأضاف والترز من Action1: “نظرًا لطبيعته الحرجة والتعقيد المنخفض للبرمجية المستغلة، يشكل CVE-2024-30051 خطرًا كبيرًا، لا سيما في البيئات التي تضم العديد من المستخدمين المحليين والمتنوعين، مثل شبكات الشركات والمؤسسات الأكاديمية.
وقال: “إن وجود كود استغلال وظيفي وتقارير استغلال مؤكدة يشير إلى أن المهاجمين على دراية جيدة بهذه الثغرة الأمنية ويستغلونها بنشاط في الحملات”. “في ضوء المستوى العالي من الامتيازات التي يمكن الحصول عليها من خلال هذا الاستغلال، من الضروري للمؤسسات إعطاء الأولوية لنشر برامج Microsoft الرسمية رقعة للتخفيف من الأضرار المحتملة.”
