التصحيح الثلاثاء بإيجاز - تم إصلاحه لمدة 0 يوم ، ولكن لا توجد تصحيحات لـ Exchange!

منذ أسبوعين أبلغنا عن يومين صفر في Microsoft Exchange الذي تم إبلاغ Microsoft به قبل ثلاثة أسابيع من ذلك من قبل شركة فيتنامية ادعت أنها عثرت على الأخطاء في تفاعل الاستجابة لحادث على شبكة العميل. (قد تحتاج إلى قراءة ذلك مرتين.)

كما تتذكر على الأرجح ، فإن الأخطاء تذكرنا بالعام الماضي ProxyLogin / ProxyShell مشكلات الأمان في Windows ، على الرغم من أن الاتصال المصدق مطلوبًا هذه المرة ، مما يعني أن المهاجم يحتاج إلى كلمة مرور بريد إلكتروني لمستخدم واحد على الأقل مسبقًا.

أدى هذا إلى الاسم الممتع - ولكن - المربك بلا داع ProxyNotShell، على الرغم من أننا نشير إليها في ملاحظاتنا باسم E00F ، باختصار استبدال ضعف يوم الصفر المزدوج، لأنه من الصعب قراءة ذلك بشكل خاطئ.

من المحتمل أيضًا أن تتذكر التفاصيل المهمة التي مفادها أنه يمكن استغلال الثغرة الأمنية الأولى في سلسلة هجوم E00F بعد الانتهاء من جزء كلمة المرور لتسجيل الدخول ، ولكن قبل أن تقوم بأي مصادقة 2FA مطلوبة لإكمال عملية تسجيل الدخول.

هذا يجعله خبيرًا في سوفوس يطلق عليها اسم تشيستر ويسنيفسكي فجوة "منتصف المصادقة" ، بدلاً من خطأ حقيقي بعد المصادقة:

قبل أسبوع واحد ، عندما فعلنا خلاصة سريعة استجابة Microsoft لـ E00F ، التي شهدت تعديل نصيحة التخفيف الرسمية للشركة عدة مرات ، توقعنا في بودكاست Naked Security على النحو التالي:

لقد ألقيت نظرة على مستند إرشادات Microsoft هذا الصباح بالذات [2022-10-05] ، لكنني لم أر أي معلومات حول التصحيح أو متى سيكون متاحًا.

الثلاثاء القادم [2022-10-11] هو يوم الثلاثاء ، لذا ربما سنضطر للانتظار حتى ذلك الحين؟

قبل يوم واحد [2022-10-11] كان أحدث باتش الثلاثاء...

... والخبر الأكبر هو بالتأكيد أننا كنا مخطئين: سنضطر إلى الانتظار لفترة أطول.

كل شيء ما عدا الصرف

تغطي تصحيحات Microsoft لهذا الشهر (التي تم الإبلاغ عنها بشكل مختلف كرقم 83 أو 84 ، اعتمادًا على كيفية عدك ومن يحسب) 52 جزءًا مختلفًا من نظام Microsoft البيئي (ما تصفه الشركة باسم "المنتجات والميزات والأدوار") ، بما في ذلك العديد من الأشياء التي لم نسمع عنها من قبل.

إنها قائمة مذهلة ، وقد كررناها هنا بالكامل:

خدمات مجال الدليل النشط Azure Azure Arc Client Server النظام الفرعي لوقت التشغيل (CSRSS) Microsoft Edge (المستند إلى Chromium) مكون رسومات Microsoft Microsoft Office Microsoft Office SharePoint Microsoft Office Word موفر Microsoft WDAC OLE DB لخدمة الوصول عن بُعد لعميل SQL NuGet نقطة إلى- دور بروتوكول Point Tunneling Protocol: Windows Hyper-V Service Fabric رمز الاستوديو المرئي لـ Windows Active Directory خدمات شهادات Windows ALPC برنامج تشغيل القرص المضغوط لنظام التشغيل Windows COM + خدمة نظام الأحداث Windows تجارب المستخدم المتصل والقياس عن بعد Windows CryptoAPI Windows Defender Windows DHCP Client نظام الملفات الموزعة (DFS) ) Windows DWM Core Library (Windows Event Logging Service) سياسة مجموعة Windows عميل تفضيلات نهج المجموعة Windows بروتوكول تبادل مفتاح الإنترنت (IKE) Windows Kernel Windows Local Security Authority (LSA) Windows Local Security Authority Subsystem Service (LSASS) Windows Local Session Manager (LSM) Windows NTFS Windows NTLM إطار برنامج تشغيل Windows ODBC s خدمة محاكاة الإدراك Windows بروتوكول الاتصال النفقي من نقطة إلى نقطة Windows خدمة عداد الأجهزة المحمولة Windows مكونات التخزين المؤقت للطباعة Windows نظام الملفات المرنة (ReFS) Windows Secure Channel Windows Security Support Provider واجهة Windows Server مفاتيح التسجيل التي يمكن الوصول إليها عن بعد Windows Server Service Windows Storage Windows TCP / برنامج التشغيل التسلسلي USB Windows IP Windows Web Account Manager Windows Win32K Windows WLAN Service Windows Workstation Service

كما ترى ، تظهر كلمة "Exchange" مرة واحدة فقط ، في سياق IKE ، فإن ملف بروتوكول تبادل مفتاح الإنترنت.

لذلك ، لا يوجد حتى الآن إصلاح لأخطاء E00F ، بعد أسبوع من متابعتنا لمقالنا من أسبوع قبل ذلك حول تقرير أولي قبل ثلاثة أسابيع من ذلك.

بمعنى آخر ، إذا كان لا يزال لديك خادم Exchange الداخلي الخاص بك ، حتى إذا كنت تقوم بتشغيله فقط كجزء من ترحيل نشط إلى Exchange Online، لم يجلب لك يوم الثلاثاء التصحيح لهذا الشهر أي إعفاء من Exchange ، لذا تأكد من أنك على اطلاع بأحدث إجراءات التخفيف من منتج Microsoft ، وأنك تعرف ما هي سلاسل الكشف عن التهديدات وتصنيفها. يستخدم بائع الأمن السيبراني لتحذيرك من مهاجمي ProxyNotShell / E00F المحتملين الذين يستكشفون شبكتك.

ما الذي تم إصلاحه؟

للحصول على مراجعة تفصيلية لما تم إصلاحه هذا الشهر ، توجه إلى الموقع الشقيق Sophos News للحصول على "من الداخل" تقرير Vulns-and-Explits من SophosLabs:

تشمل النقاط البارزة (أو النقاط البارزة ، بناءً على وجهة نظرك) ما يلي:

• عيب تم الكشف عنه علنًا في Office يمكن أن يؤدي إلى تسرب البيانات. لسنا على علم بالهجمات الفعلية باستخدام هذا الخطأ ، لكن المعلومات حول كيفية إساءة استخدامه كانت معروفة على ما يبدو للمهاجمين المحتملين قبل ظهور التصحيح. (CVE-2022-41043)
• عيب امتياز تم استغلاله علنًا في خدمة نظام أحداث COM +. الثغرة الأمنية المعروفة للجمهور والتي تم استغلالها بالفعل في الهجمات الواقعية هي ملف صفر اليوم، لأنه لم يكن هناك يوم واحد يمكنك فيه تطبيق التصحيح قبل أن يعرف عالم الإنترنت السفلي كيفية إساءة استخدامه. (CVE-2022-41033)
• ثغرة أمنية في كيفية معالجة شهادات أمان TLS. تم الإبلاغ عن هذا الخطأ على ما يبدو من قبل خدمات الأمن السيبراني الحكومية في المملكة المتحدة والولايات المتحدة (GCHQ و NSA على التوالي) ، ويمكن أن يسمح للمهاجمين بتقديم أنفسهم كمالكين لتوقيع الرمز أو شهادة موقع الويب الخاصة بشخص آخر. (CVE-2022-34689)

تنطبق تحديثات هذا الشهر إلى حد كبير كل إصدار من Windows هناك ، من Windows 7 32 بت وصولاً إلى Server 2022 ؛ تغطي التحديثات نكهات Intel و ARM لنظام Windows ؛ وتتضمن على الأقل بعض الإصلاحات لما يُعرف بـ خادم الأساسية تثبيت.

(Server Core هو نظام Windows تم تجريده يترك لك خادمًا أساسيًا للغاية يعمل بسطر الأوامر فقط مع سطح هجوم مخفض بشكل كبير ، مما يترك نوع المكونات التي لا تحتاجها ببساطة إذا كان كل ما تريده ، من أجل على سبيل المثال ، خادم DNS و DHCP.)

ماذا ستفعلين.. إذًا؟

كما نوضح في موقعنا تحليل مفصل على Sophos News ، يمكنك إما التوجه إلى الإعدادات > تحديث ويندوز واكتشف ما ينتظرك ، أو يمكنك زيارة موقع Microsoft عبر الإنترنت دليل التحديث وجلب حزم التحديث الفردية من تحديث الكتالوج.

أنت تعرف ماذا سنقول /
   لانه دائما طريقنا.

وهذا يعني ، "لا تتأخر /
   ببساطة افعلها اليوم ".

---