تبرز ثغرة Hyper-V zero-day في يوم الثلاثاء المزدحم بالتحديثات
ستواجه فرق الأمان بضعة أيام مزدحمة بعد أن قامت Microsoft بإصلاح ما يقرب من 140 ثغرة أمنية شائعة جديدة (CVEs) في تحديثها الصادر في يوليو. تصحيح الثلاثاء تحديث، بما في ذلك أربع ثغرات أمنية غير معروفة – أحدها تحديث من جهة خارجية عبر شركة معالجات ARM العملاقة.
يتم إدراج الأيام صفر الأربعة، حسب الترتيب العددي، على النحو التالي:
- CVE-2024-35264، ثغرة تنفيذ التعليمات البرمجية عن بُعد (RCE) في .NET وVisual Studio. تحمل هذه الثغرة درجة CVSS 8.1، ولكن على النقيض من ذلك، بينما يتم تداول ثغرة استغلالية لإثبات المفهوم، لا يبدو أنه تم استغلالها بعد؛
- CVE-2024-37895، ثغرة الكشف عن المعلومات التي تؤثر على ARM. يحمل هذا الخطأ درجة CVSS 5.9، ولكن على الرغم من أنه تم الكشف عنه للعامة إلا أنه لم يتم استغلاله بعد؛
- CVE-2024-38080، خلل في رفع الامتيازات (EoP) في Windows Hyper-V. تحمل هذه الثغرة درجة CVSS تبلغ 7.8، ومن المعروف أنها استُغِلَّت في البرية، على الرغم من عدم نشر أي استغلال علني لها؛
- CVE-2024-38112، ثغرة انتحال الهوية في منصة Windows MSHTML. تحمل هذه الثغرة درجة CVSS 7.5. لا تتوفر أي ثغرة استغلال عامة ولكنها تُستخدم من قبل خصوم غير معروفين حتى الآن.
في محاولة للتركيز على خلل Hyper-V، قال مايك والترز، المتخصص في إدارة التصحيحات العمل 1 قالت الشركة إن هذه الثغرة تشكل “خطرًا كبيرًا” على الأنظمة التي تستخدم Hyper-V – ويبدو أنها سهلة الاستغلال نسبيًا، حيث يتمكن المهاجم من الحصول على حقوق المسؤول بسهولة إذا حصل على وصول محلي أولي عبر، على سبيل المثال، حساب مستخدم مخترق داخل جهاز افتراضي. في النهاية، تستفيد هذه الثغرة من مشكلة تجاوز عدد صحيح داخل Hyper-V.
قال والترز: “يسلط CVE-2024-38080 الضوء على طريق واضح للمهاجمين للحصول على امتيازات مرتفعة، مما يعرض سرية وسلامة وتوافر أنظمة افتراضية متعددة للخطر”.
“عندما يتم دمجها مع ثغرات أمنية أخرى مثل عيوب تنفيذ التعليمات البرمجية عن بعد أو ثغرات الوصول الأولي مثل التصيد الاحتيالي أو مجموعات الاستغلال، يصبح ناقل الهجوم أكثر تعقيدًا وضررًا.
وأضاف أن “اعتماد نهج أمني استباقي، بما في ذلك التصحيحات في الوقت المناسب والالتزام الصارم بممارسات أمنية قوية، أمر بالغ الأهمية للتخفيف من هذه المخاطر بشكل فعال”.
سعيد عباسي، مدير المنتجات، قسم الثغرات الأمنية في وحدة أبحاث التهديدات في Qualys وأضافت (TRU): “إن التأثير هائل لأن هذه الثغرة الأمنية قد تمنح المهاجمين أعلى مستوى من الوصول إلى النظام مما قد يتيح نشر برامج الفدية وغيرها من الهجمات الضارة.
“وبينما لم تكشف مايكروسوفت عن مدى الاستغلال النشط، فإن طبيعة الثغرة تجعلها هدفًا رئيسيًا للمهاجمين. ونظرًا لإمكاناتها في التحكم العميق في النظام، فإن هذه الثغرة مهيأة لزيادة محاولات الاستغلال. ويعني الجمع بين التعقيد المنخفض وعدم وجود متطلبات تفاعل المستخدم أنه من المرجح دمجها بسرعة في مجموعات الاستغلال، مما يؤدي إلى استغلال واسع النطاق.
وأضاف عباسي: “وعلاوة على ذلك، فإن القدرة على تصعيد الامتيازات تجعل هذه الثغرة ضارة بشكل خاص لهجمات برامج الفدية، لأنها تمكن المهاجمين من إيقاف تشغيل تدابير الأمن والانتشار بشكل أكثر فعالية عبر الشبكات، وبالتالي تضخيم تأثير مثل هذه الهجمات بشكل كبير”.
وفي الوقت نفسه، قال روب ريفز، كبير مهندسي الأمن السيبراني في مختبرات غامرةوقد طبقت مايكروسوفت القاعدة على ثغرة أمنية في منصة MSHTLM في نظام التشغيل Windows. وقال: “التفاصيل من مايكروسوفت نادرة ولا توصف إلا بثغرة أمنية “انتحالية”، والتي تتطلب الهندسة الاجتماعية لإقناع المستخدم بتنفيذ ملف تم تسليمه”.
“يُقدر أن الثغرة الأمنية قد تؤدي على الأرجح إلى تنفيذ التعليمات البرمجية عن بُعد، وذلك بسبب ارتباطها بـ CWE-668: Exposure of Resource to Wrong Sphere وفي حالة الاستغلال الناجح، تؤدي إلى المساس الكامل بالسرية والسلامة والتوافر. ربما يرجع سبب درجة CVSS البالغة 7.5 فقط، بسبب صعوبة الاستغلال، إلى تعقيد الهجوم نفسه فقط.
وقال ريفز إنه بدون مزيد من التفاصيل من مايكروسوفت أو المراسل الأصلي – وهو باحث في Check Point – كان من الصعب تقديم إرشادات محددة بشأن الخطوات التالية، ولكن نظرًا لأن هذه الثغرة تؤثر على جميع المضيفين من Windows Server 2008 R2 وما بعده – بما في ذلك العملاء – وتشهد استغلالًا نشطًا، فيجب إعطاؤها الأولوية للتصحيح دون تأخير.
بالإضافة إلى الثغرات الأمنية غير المعروفة، يسرد تحديث يوليو 2024 أيضًا خمسة عيوب حرجة، جميعها نقاط ضعف RCE، تحمل درجات CVSS تتراوح من 7.2 إلى 9.8. ثلاثة منها تتعلق بخدمة ترخيص سطح المكتب البعيد لـ Windows، وواحدة تتعلق بمكتبة Microsoft Windows Codecs Library، والخامسة تتعلق بخادم Microsoft SharePoint.
احذروا يا لاعبين
أخيرًا، لفتت ثغرة RCE أخرى في محول Xbox اللاسلكي بعض الانتباه أيضًا، مما يدل على أهمية تأمين أجهزة وشبكات المستهلكين، والتي يمكن أن تكون عنصرًا مفيدًا في سلسلة هجوم الجهة المهددة مثل أي ثغرة في خادم السحابة تؤثر على المؤسسة.
تمت متابعة الثغرة الأمنية باسم CVE-2024-38078، وتصبح قابلة للاستغلال إذا كان المهاجم على مقربة مادية من النظام المستهدف وقام بجمع معلومات محددة عن البيئة المستهدفة.
على الرغم من أن هذا التعقيد يقلل من احتمالية استغلاله، إلا أنه إذا حدث ذلك، يمكن للمهاجم إرسال حزمة شبكة ضارة إلى نظام مجاور يستخدم المحول، ومن هناك تحقيق RCE.
“في بيئة العمل من المنزل، يعد تأمين جميع الأجهزة، بما في ذلك أجهزة إنترنت الأشياء مثل أنظمة الإنذار وأجهزة التلفاز الذكية، أمرًا ضروريًا. يمكن للمهاجمين استغلال هذه الثغرة الأمنية للحصول على وصول غير مصرح به وتعريض المعلومات الحساسة للخطر. غالبًا ما يتم التقليل من تقدير المسافة التي يمكن من خلالها اكتشاف إشارات Wi-Fi واعتراضها وبثها، مما يزيد من خطر هذه الثغرة الأمنية”، قال رايان براونشتاين، أوتوموكس قائد فريق العمليات الأمنية.
“لتخفيف حدة هذه التهديدات، يجب تطبيق التحديثات المنتظمة على جميع الأجهزة واعتماد تدابير أمنية قوية للشبكة مثل كلمات المرور القوية والتشفير.
وأضاف براونشتاين: “إن تثقيف جميع الموظفين والأصدقاء وأفراد الأسرة حول أهمية تحديث الأجهزة باستمرار قد لا يجعلك مشهورًا في الحفلات، ولكنه بالتأكيد يمكن أن يقلل من مكالمات الهاتف في الساعة الثانية صباحًا”.