تفصح Microsoft عن 5 أيام صفرية في التحديث الأمني ​​الضخم لشهر يوليو

تفصح Microsoft عن 5 أيام صفرية في التحديث الأمني ​​الضخم لشهر يوليو

الطابع الزمني: 11 تموز (يوليو) 2023 الساعة 6:16 مساءً
Microsoft تكشف عن 5 أيام صفرية في التحديث الأمني ​​الضخم لشهر يوليو PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.

مايكروسوفت التحديث الأمني ​​لشهر يوليو يحتوي على إصلاحات ضخمة لـ 130 نقطة ضعف فريدة ، خمسة منها يستغلها المهاجمون بنشاط في البرية.

صنفت الشركة تسعة من العيوب على أنها بالغة الخطورة و 121 منها متوسطة أو شديدة الخطورة. تؤثر الثغرات الأمنية على مجموعة كبيرة من منتجات Microsoft بما في ذلك Windows و Office و .Net و Azure Active Directory وبرامج تشغيل الطابعة وخادم DMS وسطح المكتب البعيد. احتوى التحديث على مزيج معتاد من عيوب تنفيذ التعليمات البرمجية عن بُعد (RCE) ، وتجاوز الأمان ومشكلات تصعيد الامتيازات ، وأخطاء الكشف عن المعلومات ، ورفض ثغرات الخدمة.

"هذا الحجم من الإصلاحات هو الأعلى الذي شهدناه في السنوات القليلة الماضية ، على الرغم من ذلك'قال داستن تشايلدز ، الباحث الأمني ​​في مبادرة Zero Day Initiative (ZDI) التابعة لشركة Trend Micro ، في منشور بالمدونة: "ليس من غير المعتاد رؤية Microsoft تشحن عددًا كبيرًا من التصحيحات قبل مؤتمر Black Hat USA مباشرة".

من وجهة نظر تحديد أولويات التصحيح ، فإن أيام الصفر الخمسة التي كشفت عنها Microsoft هذا الأسبوع تستحق اهتمامًا فوريًا ، وفقًا لباحثين أمنيين.

أخطرهم هو CVE-2023-36884، خطأ في تنفيذ التعليمات البرمجية عن بُعد (RCE) في Office و Windows HTML ، والذي لم يكن لدى Microsoft تصحيح له في تحديث هذا الشهر. حددت الشركة مجموعة تهديدات تتعقبها ، Storm-0978 ، على أنها تستغل الخلل في حملة تصيد احتيالي تستهدف المنظمات الحكومية والدفاعية في أمريكا الشمالية وأوروبا.

تتضمن الحملة قيام ممثل التهديد بتوزيع باب خلفي ، يطلق عليه اسم RomCom ، عبر مستندات Windows مع مواضيع تتعلق بالمؤتمر العالمي الأوكراني. "العاصفة - 0978'لقد أثرت العمليات المستهدفة على المنظمات الحكومية والعسكرية في أوكرانيا بشكل أساسي ، وكذلك المنظمات في أوروبا وأمريكا الشمالية التي يُحتمل أن تشارك في الشؤون الأوكرانية ، " قالت مايكروسوفت في مدونة المنشور المصاحب للتحديث الأمني ​​لشهر يوليو. "لقد أثرت هجمات برامج الفدية التي تم تحديدها على قطاعات الاتصالات والتمويل ، من بين أمور أخرى."

حذر داستن تشايلدز ، باحث آخر في ZDI ، المنظمات من التعامل مع CVE-2023-36884 كمسألة أمنية "حرجة" على الرغم من أن Microsoft نفسها قد قيمتها على أنها خطأ "مهم" أقل خطورة نسبيًا. "اتخذت Microsoft إجراءً غريبًا يتمثل في إطلاق هذه مكافحة التطرف العنيف بدون التصحيح. الذي - التي'لم يأت بعد ، "كتب تشايلدز في منشور مدونة. "من الواضح ، هناك'أكثر بكثير من هذا الاستغلال مما يقال ".

اثنتان من الثغرات الخمس التي يتم استغلالها بشكل نشط هي عيوب في تجاوز الأمان. واحد يؤثر على Microsoft Outlook (CVE-2023-35311) والآخر يتضمن Windows SmartScreen (CVE-2023-32049). تتطلب كلتا الثغرات الأمنية تفاعل المستخدم ، مما يعني أن المهاجم لن يكون قادرًا على استغلالهما إلا من خلال إقناع المستخدم بالنقر فوق عنوان URL ضار. باستخدام CVE-2023-32049 ، سيتمكن المهاجم من تجاوز موجه Open File - Security Warning ، بينما توفر CVE-2023-35311 للمهاجمين طريقة للتسلل إلى هجومهم من خلال موجه إشعار أمان Microsoft Outlook.

قال مايك والترز ، نائب رئيس أبحاث الثغرات الأمنية والتهديدات في Action2023: "من المهم ملاحظة أن [CVE-35311-1] يسمح على وجه التحديد بتجاوز ميزات أمان Microsoft Outlook ولا يتيح تنفيذ التعليمات البرمجية عن بُعد أو تصعيد الامتيازات". لذلك ، من المرجح أن يقوم المهاجمون بدمجه مع مآثر أخرى لهجوم شامل. وأشار في رسالة بريد إلكتروني إلى Dark Reading إن الثغرة الأمنية تؤثر على جميع إصدارات Microsoft Outlook من عام 2013 فصاعدًا.

قام Kev Breen ، مدير أبحاث التهديد السيبراني في Immersive Labs ، بتقييم تجاوز الأمان الآخر في اليوم صفر - CVE-2023-32049 - باعتباره خطأ آخر من المرجح أن يستخدمه المهاجمون كجزء من سلسلة هجوم أوسع.

يعمل اليومان الآخران في أحدث مجموعة من التصحيحات من Microsoft على تمكين تصعيد الامتيازات. اكتشف الباحثون في مجموعة تحليل التهديدات في Google أحدها. الخلل المتعقب CVE-2023-36874، هي مشكلة تتعلق بالامتياز في خدمة Windows Error Reporting (WER) التي تمنح المهاجمين طريقة للحصول على حقوق إدارية على الأنظمة المعرضة للخطر. سيحتاج المهاجم إلى وصول محلي إلى نظام متأثر لاستغلال الخلل الذي يمكن أن يكتسبه من خلال مآثر أخرى أو عبر إساءة استخدام بيانات الاعتماد.

قال Tom Bowyer ، الباحث الأمني ​​في Automox: "خدمة WER هي ميزة في أنظمة تشغيل Microsoft Windows تقوم تلقائيًا بجمع تقارير الأخطاء وإرسالها إلى Microsoft عند تعطل برنامج معين أو مواجهة أنواع أخرى من الأخطاء". قال: "يتم استغلال ثغرة يوم الصفر بشكل نشط ، لذلك إذا تم استخدام WER من قبل مؤسستك ، فإننا نوصي بالتصحيح في غضون 24 ساعة".

الارتفاع الآخر لخلل الامتياز في التحديث الأمني ​​لشهر يوليو والذي يستغله المهاجمون بالفعل بنشاط هو CVE-2023-32046 في نظام Microsoft Windows MSHTM الأساسي ، المعروف أيضًا باسم محرك عرض المتصفح "Trident". كما هو الحال مع العديد من الأخطاء الأخرى ، يتطلب هذا أيضًا مستوى معينًا من تفاعل المستخدم. في سيناريو هجوم البريد الإلكتروني لاستغلال الخطأ ، سيحتاج المهاجم إلى إرسال ملف معد خصيصًا للمستخدم المستهدف وجعل المستخدم يفتحه. قالت مايكروسوفت في هجوم على شبكة الإنترنت ، سيحتاج المهاجم إلى استضافة موقع ويب ضار - أو استخدام موقع مخترق - لاستضافة ملف معد خصيصًا ومن ثم إقناع الضحية بفتحه.

RCEs في توجيه Windows ، خدمة الوصول عن بُعد

أشار باحثو الأمن إلى ثلاث ثغرات أمنية في RCE في خدمة التوجيه والوصول عن بُعد لـ Windows (RRAS) (CVE-2023-35365, CVE-2023-35366و CVE-2023-35367) تستحق الاهتمام كأولوية مثل الجميع. قامت Microsoft بتقييم جميع الثغرات الأمنية الثلاثة على أنها حرجة وحصلت جميعها على درجة في CVSS تبلغ 9.8. الخدمة غير متاحة افتراضيًا على Windows Server وتمكن أجهزة الكمبيوتر التي تشغل نظام التشغيل بشكل أساسي من العمل كموجهات وخوادم VPN وخوادم الطلب الهاتفي ، كما قال Bowyer من Automox. "يمكن للمهاجم الناجح تعديل تكوينات الشبكة ، أو سرقة البيانات ، أو الانتقال إلى أنظمة أخرى أكثر أهمية / مهمة ، أو إنشاء حسابات إضافية للوصول المستمر إلى الجهاز."

عيوب خادم SharePoint

احتوى تحديث Microsoft الضخم لشهر يوليو على إصلاحات لأربع نقاط ضعف RCE في خادم SharePoint ، والذي أصبح هدفًا شائعًا للمهاجمين مؤخرًا. صنفت Microsoft اثنين من الأخطاء على أنها "مهمة" (CVE-2023-33134 و CVE-2023-33159) والاثنان الآخران باعتبارهما "بالغ الأهمية" (CVE-2023-33157 و CVE-2023-33160). قال يوآف إيلين ، كبير الباحثين في سيلفرفورت: "كلهم يطلبون المصادقة على المهاجم أو أن يقوم المستخدم بعمل من شأنه ، لحسن الحظ ، أن يقلل من خطر حدوث خرق". "ومع ذلك ، نظرًا لأن SharePoint يمكن أن يحتوي على بيانات حساسة وعادة ما يتم الكشف عنها من خارج المؤسسة ، يجب على أولئك الذين يستخدمون الإصدارات المحلية أو المختلطة التحديث."

يجب على المنظمات التي يجب أن تمتثل للوائح مثل FEDRAMP و PCI و HIPAA و SOC2 واللوائح المماثلة الانتباه إلى CVE-2023-35332: قال دور دالي ، رئيس الأبحاث في Cyolo ، إن ميزة أمان بروتوكول سطح المكتب البعيد لنظام التشغيل Windows تجاوز الخلل. وقال إن الثغرة تتعلق باستخدام البروتوكولات القديمة والمهملة ، بما في ذلك Datagram Transport Layer Security (DTLS) الإصدار 1.0 ، والذي يمثل مخاطر أمنية وامتثال كبيرة للمؤسسات. وقال إنه في الحالات التي لا يمكن فيها للمؤسسة التحديث على الفور ، يجب عليها تعطيل دعم UDP في بوابة RDP.

بالإضافة إلى ذلك ، مايكروسوفت نشرت الاستشارية في التحقيق في التقارير الأخيرة حول الجهات الفاعلة في التهديد باستخدام برامج تشغيل معتمدة بموجب Microsoft'برنامج مطور أجهزة Windows (MWHDP) في نشاط ما بعد الاستغلال.

الطابع الزمني:

اكثر من قراءة مظلمة