تقوم Microsoft بإصلاح 89 مشكلة خطيرة خطيرة في التصحيح قبل الأخير يوم الثلاثاء لعام 2024
أصدرت Microsoft إصلاحات تعالج ما مجموعه 89 من نقاط الضعف والتعرضات الشائعة الجديدة (CVEs) – 92 بما في ذلك إفصاحات الجهات الخارجية – للاحتفال بالنقطة قبل الأخيرة التصحيح الثلاثاء لعام 2024، بما في ذلك أربع قضايا حاسمة وعدد من العيوب التي يمكن اعتبارها أيام صفر.
من بين هذه القضايا، هناك تعريف تقليدي كامل لـ “يوم الصفر الكامل”، وهي ثغرة أمنية عامة ومعروفة باستغلالها. هذا هو CVE-2024-43451، ثغرة أمنية انتحالية في تجزئة New Technology LAN Manager (NTLM).
NTLM عبارة عن مجموعة من بروتوكولات الأمان المستخدمة لمصادقة هويات المستخدمين. يعود تاريخه إلى سنوات مضت وقد تم استبداله إلى حد كبير ببروتوكولات أكثر أمانًا إلى حد كبير – لم توصي Microsoft باستخدامه منذ أكثر من عقد من الزمان، ولكن منذ استخدامه في Internet Explorer، يظل مدعومًا إلى حد ما ويستمر في التسبب في مشاكل، لأسباب ليس أقلها وفي هذه المرحلة، يكون الوضع غير آمن بشكل لا يصدق.
في هذه الحالة، يمكن أن يؤدي الاستغلال الناجح لهذه المشكلة إلى “فقدان كامل للسرية”، وفقًا لمايكروسوفت، حيث يكشف عن تجزئة NTLMv2 الخاصة بالمستخدم إلى مهاجم يمكنه بعد ذلك استخدامها للمصادقة كمستخدم – إذا كان من الممكن خداع الضحية. إلى الحد الأدنى من التفاعل مع ملف ضار، والذي قد يتضمن مجرد تحديده أو النقر عليه، ولا حتى فتحه. وهذا قد يجعله أكثر خطورة بكثير مما قد تشير إليه درجة الخطورة المنخفضة نسبيًا.
مايك والترز، الرئيس والمؤسس المشارك لشركة الإجراء1وأوضح: “تنشأ هذه المشكلة من الآلية التي يتم فيها كشف بيانات اعتماد مصادقة NTLM، وتحديدًا تجزئات NTLMv2، بشكل غير صحيح عبر ملف تم إعداده بشكل ضار.
“السبب الجذري لهذه الثغرة الأمنية يكمن في التعامل بشكل غير صحيح مع تفاعلات الملفات داخل الأنظمة، مما قد يسمح للمهاجمين باستخراج تجزئات NTLMv2 دون الحاجة إلى التنفيذ الكامل للملف،” قال لـ Computer Weekly في تعليق عبر البريد الإلكتروني.
وقال والترز إن جميع الإصدارات المدعومة من نظام التشغيل Microsoft Windows معرضة لهذه المشكلة، خاصة إذا كانت تستخدم تطبيقات تعتمد على منصات MSHTML وEdgeHTML، بينما تزداد المخاطر عبر بيئات الأنظمة المختلفة بفضل مشاركة محركات البرمجة النصية الأخرى.
قال والترز إن مصدر القلق الرئيسي بشأن CVE-2024-43451 هو الكشف عن تجزئات NTLMv2 التي يمكن استخدامها للمصادقة كمستخدم والاستفادة منها في هجمات تمرير التجزئة، مما يتيح المزيد من الحركة الجانبية لممثل تهديد ماكر.
“تعد هذه الثغرة الأمنية فعالة بشكل خاص في سيناريوهات التصيد الاحتيالي، حيث قد يتم خداع المستخدمين للتفاعل مع الملفات الضارة. وبمجرد الحصول على تجزئات NTLM، يمكن للمهاجمين دمجها مع نقاط الضعف الأخرى في الشبكة لتوسيع نطاق وصولهم وتهديد الأنظمة الإضافية.
“المؤسسات التي تستخدم Windows بكثافة في بيئات ذات مشاركة كبيرة لملفات الشبكة أو التطبيقات القديمة التي تعتمد على Internet Explorer والأنظمة الأساسية ذات الصلة تواجه مخاطر متزايدة. أولئك الذين يفتقرون إلى أنظمة قوية لتدريب المستخدمين ومراقبتهم لاكتشاف تفاعلات الملفات غير العادية قد يكونون أكثر عرضة للاستغلال.
أيضا في القائمة هو CVE-2024-49309، وهو مستغل ولكن لم يتم نشره بعد. هذا هو ارتفاع ثغرة الامتياز (EoP) في برنامج جدولة المهام في Windows.
ينبع هذا من مشكلة حيث تتم إدارة رموز المصادقة أو بيانات الاعتماد بشكل غير صحيح ويمكن أن تسمح للمهاجم ذي الامتيازات المنخفضة بالحصول على وصول أعمق إذا كان بإمكانه تنفيذ تطبيق ضار مصمم لهذا الغرض. إنه يؤثر على إصدارات متعددة من Windows التي تتضمن برنامج جدولة المهام كجزء من عمليات أتمتة المهام الروتينية الخاصة بها، ويُعتقد أن البيئات ذات الإعدادات المشتركة أو متعددة المستخدمين قد تكون معرضة بشكل خاص لذلك.
“تعمل مشكلة عدم الحصانة هذه كنقطة دخول محتملة للمهاجمين الذين وصلوا بالفعل إلى نظام ذي امتيازات منخفضة. وقال والترز: “بمجرد تصعيد الامتيازات، يمكن لهؤلاء المهاجمين الاستفادة من موطئ القدم هذا لمزيد من الحركة الجانبية داخل الشبكة أو استغلال نقاط الضعف الأخرى التي تتطلب مستويات وصول أعلى”.
“إن طبيعة هذه الثغرة الأمنية تثير القلق بشكل خاص في إعدادات الشركات حيث يمتلك المستخدمون الفرديون امتيازات محددة لأتمتة المهام والتي يمكن استغلالها للحصول على وصول غير مصرح به.”
لم يتم استغلالها بعد
تم الإعلان عن أربع نقاط ضعف أخرى، ولكن حتى الآن لم يتم استغلالها، وفقًا لمايكروسوفت، وواحدة منها، CVE-2024-5535، وهي مشكلة تنفيذ التعليمات البرمجية عن بعد في OpenSSL، وهي من بين ثلاثة إفصاحات لجهات خارجية تم تضمينها في انخفاض هذا الشهر.
الثلاثة الآخرون هم CVE-2024-43498، ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) في .NET وVisual Studio، CVE-2024-49019وثغرة EoP في خدمات شهادات Active Directory و CVE-2024-49040، ثغرة أمنية انتحالية في Microsoft Exchange Server.
كريس جويتل، نائب رئيس المنتجات الأمنية في إيفانتي، وشاركنا المزيد من الأفكار حول مشكلات Active Directory وMicrosoft Exchange Server، وحثنا المدافعين على التعامل معها كأولويات أعلى مما قد توحي به الإرشادات الرسمية.
“[CVE-2024-49019] … تم تصنيفه على أنه مهم وحصل على درجة 7.8 من CVSS v3.1…. وفي حالة استغلالها، يمكن للمهاجم الحصول على امتيازات مسؤول المجال. وقال جويتل: “توفر الثغرة الأمنية وسائل تخفيف إضافية بما في ذلك إزالة أذونات التسجيل أو التسجيل التلقائي الواسعة للغاية، وإزالة القوالب غير المستخدمة من المراجع المصدقة، وتأمين القوالب التي تسمح لك بتحديد الموضوع في الطلب”.
“تؤثر الثغرة الأمنية على نظام التشغيل Windows Server 2008 والإصدارات الأحدث من نظام التشغيل Server OS. ومن منظور قائم على المخاطر، فإن الكشف العام يعرض هذه الثغرة الأمنية لخطر أكبر للاستغلال وقد يستدعي التعامل مع الثغرة الأمنية على أنها شديدة الخطورة.
وتابع جويتل: “[CVE-2024-49040] تم تصنيفه على أنه مهم وحصل على درجة CVSS v3.1 تبلغ 7.5 …. توجد الثغرة الأمنية في التحقق من رأس P2 From. غالبًا ما يتم استهداف Microsoft Exchange Server من قبل جهات التهديد المتخصصة في عمليات استغلال Exchange. ومن منظور تحديد الأولويات القائم على المخاطر، فإن الكشف العام عن كود الاستغلال على مستوى إثبات المفهوم (PoC) وإتاحته يضمن التعامل مع هذه الثغرة الأمنية على أنها خطيرة.
وأخيرا، تم إدراج ثلاث قضايا حاسمة أخرى على النحو التالي: CVE-2024-43625، ثغرة EoP في Microsoft Windows VMSwitch؛ CVE-2024-43639، ثغرة RCE في Windows Kerberos؛ و CVE-2024-49056، ثغرة EoP في Airlift.microsoft.com. وفي كل من هذه الحالات، لم يتم الإعلان عن أي دليل على المفهوم ولم يتم ملاحظة أي استغلال في البرية.
