في ما من المؤكد أنه سيكون بمثابة استراحة منعشة لفرق تكنولوجيا المعلومات والأمن، احتوى التحديث الأمني الشهري من Microsoft لشهر ديسمبر 2023 على عدد أقل من الثغرات الأمنية التي يتعين عليهم معالجتها مقارنة بالأشهر الأخيرة.
تضمن التحديث إصلاحات لما مجموعه 36 نقطة ضعف، حددت مايكروسوفت أربع منها على أنها ذات خطورة حرجة، وواحدة على أنها متوسطة، والباقي على أنها تهديدات مهمة أو متوسطة الخطورة. أحد عشر خطأً من الأخطاء الموجودة في تحديث ديسمبر - أو أكثر من الثلث - هي مشكلات من المرجح أن تستغلها الجهات الفاعلة في مجال التهديد. هذا هو الوصف الذي تحتفظ به Microsoft للأخطاء التي من المحتمل أن تكون هدف جذاب للمهاجمين وواحد يمكنهم استغلاله باستمرار.
البقع التي أصدرت مايكروسوفت اليوم تضمين واحدة لثغرة أمنية في مجموعة شرائح AMD (CVE-2023-20588) والتي يتوفر لها إثبات المفهوم بشكل عام. ولكن للمرة الثانية فقط هذا العام، لم يتضمن التحديث الأمني لشهر ديسمبر أي عيوب مستغلة بشكل نشط - وهو الأمر الذي يتطلب عادةً استجابة فورية.
هدية العيد المبكرة؟
وقال كيف برين، المدير الأول لأبحاث التهديدات في Immersive Labs: "قد يبدو تصحيح يوم الثلاثاء في شهر ديسمبر بمثابة هدية موسمية مبكرة لفرق الأمن مع عدد صغير من التصحيحات ولم يتم الإبلاغ عن أي منها على أنها مستغلة في البرية". "لكن هذا لا يعني أنه يجب على أي شخص أن يرتاح مع كأس من النبيذ الساخن." وأشار إلى العدد الكبير نسبيًا من التهديدات التطرفية الخطيرة التي حددتها مايكروسوفت على أنها من المرجح أن يتم استغلالها كأحد أسباب الاجتهاد، خاصة بالنظر إلى مدى سرعة استغلال المهاجمين للعيوب الجديدة هذه الأيام.
ومن الجدير بالذكر أن تحديث التصحيح يحتوي على إصلاحات لـ 10 ثغرات أمنية في تصعيد الامتيازات، وهي فئة من الأخطاء التي يتم تصنيفها باستمرار في خطورة أقل من أخطاء تنفيذ التعليمات البرمجية عن بعد، ولكنها على نفس القدر من الخطورة تقريبًا، كما قال برين. وقال: "سيحتوي كل خرق أمني تقريبًا على مرحلة تصعيد الامتيازات التي تمكن المهاجم من الحصول على أذونات على مستوى النظام وتعطيل أدوات الأمان أو نشر هجمات وأدوات أخرى".
الأخطاء التي يجب تحديد أولوياتها في دفعة ديسمبر
في خروج عن المعتاد، كان للباحثين الأمنيين آراء مختلفة قليلاً بشأن ما اعتبروه أهم الأخطاء في الدفعة الأخيرة. لكن أحد العيوب التي اتفق عليها معظم الناس هو أنها قضية ذات أولوية عالية CVE-2023-35628، خطأ في تنفيذ التعليمات البرمجية عن بعد في النظام الأساسي Windows MSHTML. أعطت مايكروسوفت الثغرة تصنيف خطورة 8.1 من أصل 10 على مقياس CVSS وحددتها على أنها مشكلة من المرجح أن يستغلها فاعلو التهديد.
يقول سعيد عباسي، مدير أبحاث الثغرات والتهديدات في Qualys: "على عكس الحالات المعتادة التي يؤدي فيها عرض البريد الإلكتروني في جزء المعاينة إلى حدوث المشكلة، تحدث المشكلة في وقت مبكر هذه المرة". "تحدث المشكلة بمجرد تنزيل Outlook ومعالجة البريد الإلكتروني، حتى قبل ظهوره في جزء المعاينة."
ويتوقع أن تحاول عصابات برامج الفدية الاستفادة من هذا التدفق. ويضيف عباسي: "لكن استغلالها بنجاح يتطلب تقنيات متطورة لتشكيل الذاكرة، مما يشكل تحديًا كبيرًا".
ومما يزيد من خطورة الخطأ أيضًا حقيقة أن MSHTML هو مكون أساسي في Windows لعرض HTML والمحتوى الآخر المستند إلى المتصفح. وقال برين إن المكون ليس مجرد جزء من المتصفحات ولكن أيضًا في تطبيقات مثل Microsoft Office وOutlook وTeams وSkype.
أبرز جيسون كيكتا، كبير مسؤولي أمن المعلومات في Automox CVE-2023-35618، وهو ارتفاع خلل الامتياز في متصفح Edge المستند إلى Chromium من Microsoft، كمشكلة تحتاج المؤسسات إلى التخفيف منها على أساس الأولوية. وقال كيكتا: "تم تصنيف مشكلة عدم الحصانة هذه على أنها متوسطة الخطورة، لكن لا ينبغي تجاهلها". "من المحتمل أن يؤدي ذلك إلى هروب من وضع حماية المتصفح، مما يحول بيئة التصفح الآمنة عادةً لـ Microsoft Edge إلى خطر محتمل."
أعطت مايكروسوفت نفسها الثغرة تصنيف خطورة CVSS يبلغ 9.6 من الحد الأقصى 10. وفي الوقت نفسه، قامت الشركة أيضًا بتقييم الخلل على أنه مجرد مشكلة ثغرة أمنية متوسطة الخطورة بسبب مقدار تفاعل المستخدم والشروط المسبقة المطلوبة للمهاجم. لتتمكن من استغلالها.
تؤثر اثنتان من الثغرات الأمنية السبعة لتنفيذ التعليمات البرمجية عن بُعد في تحديث ديسمبر 2023 على ميزة مشاركة اتصال الإنترنت (ICS) في Windows. كلا نقاط الضعف - CVE-2023-35641 و CVE-2023-35630 - حصلت على نتيجة متطابقة لـ CVSS تبلغ 8.8، على الرغم من أن Microsoft حددت الأولى فقط باعتبارها ثغرة أمنية من المرجح أن يستهدفها المهاجمون.
وقال مايك والترز، الرئيس والمؤسس المشارك لشركة Action1: "تشترك هذه الثغرات الأمنية في خصائص متشابهة، بما في ذلك ناقل الهجوم المجاور، والتعقيد المنخفض، ومتطلبات الامتياز المنخفضة، وعدم الحاجة إلى تفاعل المستخدم". "يقتصر نطاق هذه الهجمات على الأنظمة الموجودة على نفس قطاع الشبكة مثل المهاجم، مما يعني أنه لا يمكن إجراؤها عبر شبكات متعددة، مثل شبكة WAN."
هناك نقطتان أخريان قال باحثون أمنيان إنهما يستحقان الاهتمام CVE-2023-35636، وخلل في الكشف عن المعلومات في Outlook، و CVE-2023-36696، وهو ارتفاع في ثغرة الامتياز في برنامج تشغيل Windows Cloud Files Mini Filter.
يقول عباسي إن CVE-2023-35636 مثير للاهتمام لأنه لا يسبب مشاكل عندما يقوم المستخدم بمعاينة رسائل البريد الإلكتروني. ويضيف أنه في حالة إساءة استخدامه، فإنه يمكن أن يكشف تجزئات NTLM التي يمكن أن يستخدمها المتسللون للتظاهر بأنهم مستخدمين آخرين والتعمق في شبكة الشركة.
انخفاض طفيف على أساس سنوي
وصف ساتنام نارانغ، كبير مهندسي الأبحاث في Tenable، ثغرة Mini Filter Drive بأنها شيء يمكن للمهاجم استغلاله بعد الاختراق لرفع الامتيازات. وقال إن هذا الخطأ هو الثغرة السادسة من نوعها التي كشفت عنها مايكروسوفت في برنامج التشغيل هذا.
"بالنسبة لعام 2023، قامت Microsoft بتصحيح 909 من التهديدات الخطيرة، أ انخفاض طفيف بنسبة 0.87% عن عام 2022وقال نارانج، الذي شهد تصحيح Microsoft لـ 917 CVEs. ومن بين هذه الثغرات، كانت هناك 23 ثغرات أمنية كان المهاجمون يستغلونها بشكل نشط في الوقت الذي كشفت فيه Microsoft عن هذه الثغرات وأصدرت تصحيحًا لها. وقال إن أكثر من نصف أيام الصفر كانت عبارة عن ارتفاع في نقاط الضعف في الامتيازات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/microsoft-gives-admins-a-reprieve-with-lighter-than-usual-patch-update
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 10
- 2023
- 23
- 36
- 7
- 8
- 9
- a
- ماهرون
- سوء المعاملة
- في
- بنشاط
- الجهات الفاعلة
- العنوان
- يضيف
- المجاور
- مميزات
- تؤثر
- متفق عليه
- تقريبا
- أيضا
- AMD
- كمية
- an
- و
- أي شخص
- التطبيقات
- هي
- AS
- تقييم
- At
- مهاجمة
- الهجمات
- اهتمام
- متاح
- أساس
- BE
- لان
- قبل
- يجري
- على حد سواء
- خرق
- استراحة
- المتصفح
- المتصفحات
- تصفح
- علة
- البق
- لكن
- CAN
- لا تستطيع
- الحالات
- الفئة
- سبب
- الأسباب
- تحدى
- الخصائص
- CISO
- سحابة
- المؤسس المشارك
- الكود
- حول الشركة
- تعقيد
- عنصر
- أجرت
- صلة
- باتساق
- تحتوي على
- الواردة
- يحتوي
- محتوى
- جوهر
- استطاع
- حرج
- خطير
- أيام
- ديسمبر
- رفض
- أعمق
- مطالب
- نشر
- وصف
- وصف
- مختلف
- الاجتهاد
- مدير المدارس
- إفشاء
- لا توجد الآن
- لا
- التنزيلات
- قيادة
- سائق
- في وقت سابق
- في وقت مبكر
- سهل
- حافة
- رفع
- أحد عشر
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- تمكن
- مهندس
- البيئة
- بالتساوي
- التصعيد
- هرب
- خاصة
- حتى
- كل
- استغلال
- استغلال
- استغلال
- حقيقة
- الميزات
- أقل
- ملفات
- تصفية
- إصلاحات
- عيب
- العيوب
- تدفق
- في حالة
- سابق
- أربعة
- تبدأ من
- ربح
- عصابات
- أعطى
- دولار فقط واحصل على خصم XNUMX% على جميع
- هدية
- معطى
- يعطي
- زجاج
- قراصنة
- كان
- نصفي
- مقابض
- يحدث
- يملك
- he
- سلط الضوء
- جدا
- عطلات
- كيفية
- HTML
- HTTPS
- مطابق
- محدد
- if
- فوري
- غامرة
- أهمية
- in
- تتضمن
- شامل
- بما فيه
- معلومات
- تفاعل
- وكتابة مواضيع مثيرة للاهتمام
- Internet
- اتصال الانترنت
- إلى
- قضية
- نشر
- مسائل
- IT
- نفسها
- JPG
- م
- مختبرات
- آخر
- قيادة
- مثل
- على الأرجح
- منخفض
- خفض
- مدير
- أقصى
- مايو..
- تعني
- معنى
- مایکروسافت
- مايكروسوفت الحافة
- مايك
- تخفيف
- شهريا
- المقبلة.
- الأكثر من ذلك
- أكثر
- متعدد
- حاجة
- بحاجة
- شبكة
- الشبكات
- جديد
- لا
- بدون اضاءة
- عادة
- عدد
- of
- Office
- on
- ONE
- فقط
- or
- المنظمات
- أخرى
- خارج
- بريد اوتلوك
- على مدى
- خبز
- جزء
- بقعة
- التصحيح الثلاثاء
- بقع
- محسوس - ملموس
- أذونات
- مرحلة جديدة
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ممكن
- محتمل
- يحتمل
- تتوقع
- رئيس
- أرسال
- معاينات
- أولويات
- الأولوية
- امتياز
- الامتيازات
- المشكلة
- مشاكل
- علانية
- بسرعة
- الرتب
- الفدية
- مقدر
- تصنيف
- سبب
- الأخيرة
- نسبيا
- صدر
- عن بعد
- أداء
- وذكرت
- مطلوب
- المتطلبات الأساسية
- يتطلب
- بحث
- الباحثين
- الاحتياطيات
- استجابة
- REST
- المخاطرة
- s
- خزنة
- قال
- نفسه
- رمل
- رأى
- يقول
- حجم
- نطاق
- أحرز هدفاً
- موسمي
- الثاني
- أمن
- بدا
- قطعة
- كبير
- سبعة
- مشاركة
- مشاركة
- ينبغي
- يظهر
- هام
- مماثل
- سادس
- سكيب
- مختلفة قليلا
- صغير
- شيء
- قريبا
- متطور
- فريق العمل
- جوهري
- بنجاح
- هذه
- بالتأكيد
- أنظمة
- أخذ
- يأخذ
- الهدف
- فريق
- تقنيات
- من
- أن
- •
- منهم
- تشبه
- هم
- الثالث
- هذا العام
- على الرغم من؟
- التهديد
- الجهات التهديد
- التهديدات
- الوقت
- إلى
- أدوات
- الإجمالي
- تحويل
- محاولة
- الثلاثاء
- مختلف
- تحديث
- تستخدم
- مستخدم
- المستخدمين
- معتاد
- عادة
- الاطلاع على
- نقاط الضعف
- الضعف
- كان
- ابحث عن
- متى
- التي
- بري
- سوف
- نوافذ
- WINE
- مع
- مستحق
- عام
- زفيرنت
- نقاط الضعف في اليوم صفر