يثبت يوم الثلاثاء الموافق لشهر أغسطس أنه يوم مزدحم بوجود ستة أيام صفرية لإصلاحها
أصيب مسؤولو تكنولوجيا المعلومات وفرق الأمن بخيبة أمل بعد أن قامت شركة مايكروسوفت بإصلاح ستة ثغرات أمنية تم استغلالها بنشاط وأربع مشكلات إضافية تم الكشف عنها للعامة، في أحدث تحديث له يوم الثلاثاء.
كما استهدفت الجهات الخبيثة هذا الشهر ما لا يقل عن تسعة عيوب، اثنتان منها مشكلات خارجية قادمة من Red Hat، والتي تحمل تصنيفات شدة حرجة.
لا يوجد أي من هذه العيوب الحرجة في قائمة الأيام صفر، ولكن في خضم أحد أكبر تحديثات الثلاثاء التصحيحية حتى الآن هذا العام، والتي تتألف من أكثر من 100 إصلاح بمجرد الأخذ في الاعتبار مشكلات الجهات الخارجية، فمن المؤكد أنها ستشغل الكثير من الوقت على مدى الأيام القليلة القادمة.
“لدى مايكروسوفت أدلة على استغلال غير معلن … أو الكشف العام عن 10 من الثغرات الأمنية المنشورة اليوم، وهو ما يزيد بشكل كبير عن المعتاد”، كما قال رابيد7 مهندس البرمجيات الرائد، آدم بارنيت.
“في وقت كتابة هذا المقال، تم إدراج جميع الثغرات الأمنية الستة المعروفة التي تم استغلالها والتي تم تصحيحها اليوم على [the] سيسا كيف [database]كما تعمل شركة Microsoft اليوم على إصلاح خمس ثغرات أمنية خطيرة تتعلق بتنفيذ التعليمات البرمجية عن بعد (RCE).
وأضاف “إن مراقبي يوم الثلاثاء المقبل سوف يعرفون أن حصيلة اليوم من الثغرات الأمنية الأربعة التي تم الكشف عنها علناً وستة ثغرات أمنية أخرى تم استغلالها هي دفعة أكبر بكثير من المعتاد”.
وأضاف بارنيت: “كنوع من التحذير للمدافعين الذين قد يراقبون الآن قائمة مهامهم بقلق، لم تنشر مايكروسوفت أي ثغرات أمنية في SharePoint أو Exchange هذا الشهر”.
تتضمن الأيام الصفرية الستة – والتي لم يتم تداول أي كود استغلال لها حتى الآن – الأخطاء التالية:
- سي في إي-2024-38106، ثغرة رفع الامتيازات (EoP) في Windows Kernel؛
- سي في إي-2024-38107، ثغرة EoP في Windows Power Dependency Coordinator؛
- سي في إي-2024-38178، ثغرة تنفيذ التعليمات البرمجية عن بعد في Scripting Engine؛
- سي في إي-2024-38189، ثغرة RCE في Microsoft Project؛
- سي في إي-2024-38193، ثغرة EoP في برنامج تشغيل الوظيفة المساعدة لنظام التشغيل Windows لـ WinSock؛
- سي في إي-2024-38213، ثغرة أمنية لتجاوز ميزة الأمان في Mark-of-the-Web في نظام التشغيل Windows.
الخبر السار، كما قال كريس جوتل، إيفانتي وسارع نائب رئيس منتجات الأمن إلى ملاحظة أن تحديث نظام التشغيل Windows وOffice سوف “يزيل معظم المخاطر بسرعة كبيرة”.
قال جويتل، أثناء تطبيق القاعدة على قائمة الأيام الصفرية، إن CVE-2024-38189 من المرجح أن يكون الأكثر تأثيرًا لأنه يسمح للمهاجم بالهندسة الاجتماعية لطريقته في تنفيذ تعليمات برمجية عشوائية على نظام الضحية. لكنه أضاف أن هناك عوامل مخففة، مثل السياسات التي تمنع تشغيل وحدات الماكرو في ملفات Office من الإنترنت، وإعدادات إشعارات وحدات الماكرو VBA.
“إذا تم تمكين هذه الإعدادات، فقد يتم إحباط الهجوم. في مكان ما، تم تعطيل إعدادات السياسة هذه بشكل واضح مما يسمح للمهاجم باستغلال CVE في البرية. ستكون الإرشادات القائمة على المخاطر هي الحصول على تحديثات تثبيتات Office هذا الشهر. إذا كان لديك سيطرة محدودة على إعدادات السياسة المخففة أو لديك BYOD مفتوح [bring your own device] وأضاف “إذا كنت تريد أن تكون لديك سياسة معينة، فإن تحديث المكتب قد يكون أكثر إلحاحًا لتقليل تعرضك للخطر”.
بالنسبة لـ CVE-2024-38107، لاحظ Goettl أنه على الرغم من أن الاستغلال يتطلب من المهاجم الفوز بحالة السباق، نظرًا لأنه تم اكتشافه في هجمات بالفعل، فلا ينبغي أن يكون هذا سببًا لتأجيل معالجته.
وحث المستخدمين على مراعاة الإرشادات القائمة على المخاطر ومعاملة هذا التحديث باعتباره ذا خطورة أعلى مما تقول مايكروسوفت، مضيفًا أن الأمر نفسه ينطبق على جميع الأيام الصفرية الأربعة الأخرى المدرجة.
العيوب التي تم الكشف عنها، ولكن لم يتم استغلالها بشكل علني حتى الآن، هي كما يلي:
في مراجعة لهذه القضايا الأربع، يقول سكوت كافيزا، مهندس الأبحاث في قابلة للتحملوقال إن الثغرتين CVE-2024-38202 وCVE-2024-21302 تستحقان اهتمامًا خاصًا.
“كلاهما [these] وقد كشف الباحث في مختبرات SafeBreach، ألون ليفييف، عن هذه الثغرات. وقال كافيزا: “إذا تم ربط هذه الثغرات ببعضها البعض، فيمكن للمهاجم تخفيض إصدار البرنامج أو التراجع عن تحديثاته دون الحاجة إلى التفاعل من الضحية الذي يتمتع بامتيازات مرتفعة”.
“ونتيجة لذلك، يتم محو جهود الإصلاح السابقة بشكل أساسي حيث يمكن جعل الأجهزة المستهدفة عرضة للثغرات الأمنية التي تم تصحيحها مسبقًا، وبالتالي زيادة سطح الهجوم للجهاز.”
كما أشار كافيزا إلى أن الثغرة الأمنية CVE-2024-38200 تستحق الاهتمام الشديد. وأوضح: “يمكن للمهاجم أن يستغل هذه الثغرة الأمنية من خلال إغراء الضحية بالوصول إلى ملف مصمم خصيصًا، ربما عبر رسالة بريد إلكتروني احتيالية. وقد يؤدي الاستغلال الناجح للثغرة الأمنية إلى كشف الضحية عن تجزئات NTLM الخاصة بـ New Technology Lan Manager (NTLM) لمهاجم بعيد”.
“يمكن إساءة استخدام تجزئات NTLM في هجمات إعادة توجيه NTLM أو تمرير التجزئة لتعزيز موطئ قدم المهاجم في المؤسسة. وقد لاحظ أحد الجهات الفاعلة في مجال التهديد في روسيا هجمات إعادة توجيه NTLM، ابت28 [Fancy Bear]، الذي استغل ثغرة مماثلة لتنفيذ الهجمات – CVE-2023-23397، ثغرة EoP في Microsoft Outlook تم تصحيحه في مارس 2023“.”