Patch Tuesday: 0-days ، أخطاء RCE ، وقصة غريبة عن البرامج الضارة الموقعة

شهر آخر ، يوم ثلاثاء آخر من Microsoft Patch ، 48 تصحيحًا أخرى ، ويومان آخران ...

... وقصة مذهلة عن مجموعة من الممثلين المارقين الذين خدعوا Microsoft نفسها لإعطاء رمزهم الضار ختمًا رقميًا رسميًا للموافقة.

للحصول على رأي باحث التهديد في إصلاحات يوم الثلاثاء التصحيح لشهر ديسمبر 2002 ، يرجى الرجوع إلى كتابة Sophos X-Ops على موقع أختنا أخبار سوفوس:

ل غوص عميق في ملحمة البرامج الضارة الموقعة ، التي تم اكتشافها والإبلاغ عنها مؤخرًا من قبل خبراء الاستجابة السريعة من Sophos الذين تم استدعاؤهم للتعامل مع تداعيات هجوم ناجح:

وللحصول على نظرة عامة رفيعة المستوى حول المشكلات الكبيرة هذا الشهر ، استمر في القراءة هنا ...

اثنان من فتحات اليوم صفر مصححة

لحسن الحظ ، لا يمكن استغلال أي من هذه الأخطاء لما يُعرف باسم RCE (تنفيذ التعليمات البرمجية عن بعد) ، حتى لا يمنحوا المهاجمين الخارجيين طريقًا مباشرًا إلى شبكتك.

ومع ذلك ، فإن كلاهما من الأخطاء التي تجعل الأمور أسهل بالنسبة لمجرمي الإنترنت من خلال توفير طرق لهم لتجاوز إجراءات الحماية الأمنية التي عادة ما تمنعهم في مسارهم:

---

CVE-2022-44710: رفع نواة DirectX Graphics من الثغرات الأمنية

تم الكشف علنًا عن استغلال يسمح لمستخدم محلي بإساءة استخدام هذا الخطأ.

بقدر ما نعلم ، فإن الخطأ ينطبق فقط على أحدث الإصدارات (2022H2) من Windows 11.

EoP على مستوى Kernel (رفع الامتياز) البق تسمح للمستخدمين العاديين "بالترويج" لأنفسهم لقوى على مستوى النظام ، مما يحتمل أن يحول اقتحامًا مزعجًا للجرائم الإلكترونية ولكنه ربما يكون محدودًا إلى حل وسط كامل للكمبيوتر.

---

CVE-2022-44698: ميزة أمان Windows SmartScreen تجاوز الثغرات الأمنية

ومن المعروف أيضًا أن هذا الخطأ قد تم عرضه في البرية.

يمكن للمهاجم الذي لديه محتوى ضار والذي عادة ما يثير تنبيهًا أمنيًا تجاوز هذا الإشعار وبالتالي إصابة المستخدمين المطلعين بالعدوى دون سابق إنذار.

---

البق لمشاهدة

وإليك ثلاث أخطاء مثيرة للاهتمام لم تكن أيام 0 ، ولكن قد يكون هؤلاء المحتالون مهتمين بالبحث عنها ، على أمل اكتشاف طرق لمهاجمة أي شخص بطيء في التصحيح.

تذكر أن التصحيحات نفسها غالبًا ما تعطي المهاجمين بشكل لا مفر منه تلميحات واضحة حول مكان بدء البحث ونوع الأشياء التي يجب البحث عنها.

يمكن أن يؤدي هذا النوع من التدقيق في "العمل إلى الوراء حتى الهجوم" إلى ما يُعرف في المصطلحات باسم مآثر N- يوم، مما يعني الهجمات التي تظهر بسرعة كافية لدرجة أنها لا تزال تلتقط العديد من الأشخاص ، على الرغم من أن الثغرات وصلت بعد توفر التصحيحات.

---

CVE-2022-44666: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لجهات اتصال Windows 

وفقًا لباحثي Sophos X-Ops ، فإن فتح ملف جهة اتصال مفخخ يمكن أن يفعل أكثر من مجرد استيراد عنصر جديد إلى قائمة جهات الاتصال الخاصة بك.

مع النوع الخاطئ من المحتوى في الملف الذي يبدو (على حد تعبير دوغلاس آدامز) كما لو أنه يجب أن يكون "غير ضار في الغالب" ، يمكن للمهاجم أن يخدعك لتشغيل شفرة غير موثوق بها بدلاً من ذلك.

---

CVE-2022-44690 و CVE-2022-44693: الثغرات الأمنية في تنفيذ التعليمات البرمجية لـ Microsoft SharePoint Server عن بعد

لحسن الحظ ، لا يفتح هذا الخطأ خادم SharePoint لأي شخص فقط ، ولكن أي مستخدم موجود على شبكتك لديه تسجيل دخول إلى SharePoint بالإضافة إلى أذونات "ManageList" يمكنه فعل أكثر بكثير من مجرد إدارة قوائم SharePoint.

من خلال هذه الثغرة الأمنية ، يمكنهم تشغيل تعليمات برمجية من اختيارهم على خادم SharePoint أيضًا.

---

CVE-2022-41076: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في PowerShell 

يمكن منح المستخدمين المصرح لهم الذين قاموا بتسجيل الدخول إلى الشبكة إمكانية الوصول ، عبر نظام PowerShell عن بُعد ، لتنفيذ بعض أوامر PowerShell (وليس جميعها بالضرورة) على أجهزة الكمبيوتر الأخرى ، بما في ذلك العملاء والخوادم.

من خلال استغلال هذه الثغرة الأمنية ، يبدو أن مستخدمي PowerShell عن بُعد يمكنهم تجاوز قيود الأمان التي من المفترض أن تنطبق عليهم ، وتشغيل أوامر بعيدة يجب أن تكون خارج الحدود.

---

ملحمة السائق الموقعة

وأخيرًا وليس آخرًا ، هناك جديد رائع مستشار أمان Microsoft لمرافقة يوم الثلاثاء التصحيح لهذا الشهر:

---

ADV220005: إرشادات حول استخدام برامج التشغيل الموقعة من Microsoft بشكل ضار

من المدهش أن هذه النصائح الإرشادية تعني فقط ما تقوله.

قام خبراء Sophos Rapid Reponse ، إلى جانب باحثين من شركتين أخريين للأمن السيبراني ، مؤخرًا تم اكتشافه والإبلاغ عنه هجمات العالم الحقيقي التي تتضمن عينات برامج ضارة تم توقيعها رقميًا بواسطة Microsoft نفسها.

---

كما توضح Microsoft:

تم إبلاغ Microsoft مؤخرًا أن برامج التشغيل المعتمدة من قبل برنامج مطور أجهزة Windows الخاص بشركة Microsoft يتم استخدامها بشكل ضار في نشاط ما بعد الاستغلال. [...] كشف هذا التحقيق أن العديد من حسابات المطورين لمركز شركاء Microsoft متورطة في إرسال برامج تشغيل ضارة للحصول على توقيع Microsoft.

بعبارة أخرى ، نجح المبرمجون المحتالون في خداع Microsoft للتوقيع على برامج تشغيل نواة ضارة ، مما يعني أن الهجمات التي تم التحقيق فيها بواسطة Sophos Rapid Response تضم مجرمي الإنترنت الذين لديهم بالفعل طريقة مؤكدة للحصول على قوى على مستوى النواة على أجهزة الكمبيوتر التي قاموا بغزوها ...

... دون الحاجة إلى أي ثغرات أمنية إضافية أو عمليات استغلال أو خداع آخر.

يمكنهم ببساطة تثبيت برنامج تشغيل kernel رسمي على ما يبدو ، مع تصريح Microsoft الخاص ، و Windows ، حسب التصميم ، يثق به تلقائيًا ويقوم بتحميله.

لحسن الحظ ، كان هؤلاء المبرمجون المارقون الآن كذلك طرد للخارج من Microsoft Developer Program ، وقد تم حظر برامج التشغيل المارقة المعروفة من قِبل Microsoft حتى لا تعمل بعد الآن.

للغوص العميق في هذا قصة درامية، بما في ذلك وصف ما تمكن المجرمون من تحقيقه مع هذا النوع من القوة العظمى "المعتمدة رسميًا" (بشكل أساسي ، إنهاء برنامج الأمان رغماً عنه من داخل نظام التشغيل نفسه) ، يرجى قراءة تحليل Sophos X-Ops:

---