التصحيح الآن: خطأ خطير في Windows Kerberos يتجاوز أمان Microsoft

التصحيح الآن: خطأ خطير في Windows Kerberos يتجاوز أمان Microsoft

الطابع الزمني: 9 يناير 2024 6:00 مساءً
عقدة المصدر: 3052688

قامت Microsoft بتسهيل فرق أمان المؤسسات حتى عام 2024 من خلال تحديث أمني خفيف نسبيًا لشهر يناير يتكون من تصحيحات لـ 48 من التهديدات الخطيرة الفريدة، اثنان منها فقط حددتهما الشركة على أنهما شديد الخطورة.

للشهر الثاني على التوالي، لم يتضمن برنامج تصحيح يوم الثلاثاء من Microsoft أي أخطاء برمجية، مما يعني أن المسؤولين لن يضطروا إلى التعامل مع أي ثغرات أمنية جديدة يستغلها المهاجمون بنشاط في الوقت الحالي – وهو أمر حدث بشكل متكرر في عام 2023.

اثنين فقط من الأخطاء الخطيرة الخطورة

وكما هو الحال عادة، فإن مكافحة التطرف العنيف كشفت مايكروسوفت في 9 يناير أثرت على مجموعة واسعة من منتجاتها وتضمنت ثغرات أمنية في تصعيد الامتيازات، وعيوب في تنفيذ التعليمات البرمجية عن بعد، وأخطاء في تجاوز الأمان، ونقاط ضعف أخرى. وصنفت الشركة 46 من العيوب على أنها ذات خطورة كبيرة، بما في ذلك العديد من العيوب التي كان المهاجمون أكثر عرضة لاستغلالها.

أحد الأخطاء الخطيرة في التحديث الأخير لـ Microsoft هو CVE-2024-20674، وهي ميزة أمان Windows Kerberos تتجاوز الثغرة الأمنية التي تسمح للمهاجمين بتجاوز آليات المصادقة وشن هجمات انتحال الشخصية. يقول سعيد عباسي، مدير أبحاث الثغرات الأمنية في Qualys في تعليقات لموقع Dark Reading: "يمكن للمهاجمين استغلال هذا الخلل عبر هجوم الآلة في الوسط (MitM)." "إنهم يحققون ذلك من خلال إعداد سيناريو انتحال الشبكة المحلية ثم إرسال رسائل Kerberos الضارة لخداع جهاز العميل للاعتقاد بأنه يتواصل مع خادم مصادقة Kerberos شرعي."

تتطلب الثغرة الأمنية أن يكون لدى المهاجم إمكانية الوصول إلى نفس الشبكة المحلية التي يستخدمها الهدف. لا يمكن استغلاله عن بعد عبر الإنترنت ويتطلب القرب من الشبكة الداخلية. ومع ذلك، هناك احتمال كبير لمحاولات استغلال نشطة في المستقبل القريب، كما يقول عباسي.

تم تحديد كين برين، المدير الأول لأبحاث التهديدات في Immersive Labs CVE-2024-20674 باعتباره خطأً من الأفضل للمؤسسات تصحيحه بسرعة. "إن هذه الأنواع من نواقل الهجوم تكون دائمًا ذات قيمة بالنسبة للجهات الفاعلة في مجال التهديد مثل مشغلي برامج الفدية ووسطاء الوصول،" لأنها تتيح وصولاً كبيرًا إلى شبكات المؤسسة، وفقًا لبيان صادر عن برين.

الثغرة الأمنية الخطيرة الأخرى في أحدث دفعة من التحديثات الأمنية من Microsoft هي CVE-2024-20700، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في تقنية Windows Hyper-Virtualization. ليس من السهل استغلال الثغرة الأمنية، لأنه للقيام بذلك، سيحتاج المهاجم أولاً إلى أن يكون داخل الشبكة وبجوار جهاز كمبيوتر معرض للخطر، وفقًا لبيان صادر عن بن مكارثي، كبير مهندسي الأمن السيبراني في Immersive Labs.

تتضمن الثغرة الأمنية أيضًا حالة سباق، وهي نوع من المشكلات يصعب على المهاجم استغلالها مقارنة بالعديد من أنواع الثغرات الأمنية الأخرى. وقال مكارثي: "تم إصدار هذه الثغرة الأمنية باعتبارها استغلالًا أقل احتمالًا، ولكن نظرًا لأن Hyper-V يعمل كأعلى الامتيازات في الكمبيوتر، فمن المفيد التفكير في التصحيح".

أخطاء تنفيذ التعليمات البرمجية عن بعد ذات الأولوية العالية

أشار باحثو الأمن إلى خللين آخرين في RCE في تحديث يناير يستحقان الاهتمام على سبيل الأولوية: CVE-2024-21307 في Windows Remote Desktop Client و CVE-2024-21318 في خادم SharePoint.

وحددت مايكروسوفت CVE-2024-21307 باعتبارها ثغرة أمنية من المرجح أن يستغلها المهاجمون، لكنها لم تقدم سوى القليل من المعلومات حول السبب، وفقًا لبرين. لاحظت الشركة أن المهاجمين غير المصرح لهم يحتاجون إلى انتظار قيام المستخدم ببدء الاتصال حتى يتمكنوا من استغلال الثغرة الأمنية.  

وقال برين: "هذا يعني أنه يتعين على المهاجمين إنشاء خادم RDP ضار واستخدام تقنيات الهندسة الاجتماعية لخداع المستخدم للاتصال". "هذا ليس بالأمر الصعب كما يبدو، حيث يسهل نسبيًا على المهاجمين إعداد خوادم RDP الضارة ثم إرسال مرفقات .rdp في رسائل البريد الإلكتروني مما يعني أنه يتعين على المستخدم فقط فتح المرفق لتشغيل الاستغلال."

عدد قليل من أخطاء تصعيد الامتيازات القابلة للاستغلال

يتضمن تحديث Microsoft لشهر يناير تصحيحات للعديد من الثغرات الأمنية المتعلقة بتصعيد الامتيازات. ومن بين أشدها ل CVE-2023-21310، خطأ تصعيد الامتيازات في Windows Cloud Files Mini Filter Driver. العيب يشبه إلى حد كبير CVE-2023-36036، وهي ثغرة أمنية لتصعيد امتيازات اليوم الصفري في نفس التقنية، والتي كشفت عنها Microsoft في تقريرها التحديث الأمني ​​لشهر نوفمبر 2023.

استغل المهاجمون هذا الخلل بشكل نشط لمحاولة الحصول على امتيازات على مستوى النظام على الأجهزة المحلية، وهو أمر يمكنهم فعله بالثغرة الأمنية التي تم الكشف عنها حديثًا أيضًا. وقال برين: "كثيرًا ما يتم رؤية هذا النوع من خطوة تصعيد الامتيازات من قبل الجهات الفاعلة في مجال التهديد في اختراقات الشبكة". "يمكن أن يمكّن المهاجم من تعطيل أدوات الأمان أو تشغيل أدوات تفريغ بيانات الاعتماد مثل Mimikatz التي يمكنها بعد ذلك تمكين الحركة الجانبية أو اختراق حسابات المجال."

تم تضمين بعض الأخطاء الهامة الأخرى المتعلقة بتصعيد الامتيازات CVE-2024-20653 في نظام ملفات السجل المشترك لـ Windows، CVE-2024-20698 في ويندوز كيرنل، CVE-2024-20683 في Win32k، وCVE-2024-20686 في Win32k. قامت Microsoft بتصنيف كل هذه العيوب على أنها مشكلات من المرجح أن يستغلها المهاجمون، وفقًا لبيان صادر عن Satnam Narang، كبير مهندسي الأبحاث في Tenable. وقال: "تُستخدم هذه الأخطاء بشكل شائع كجزء من نشاط ما بعد التسوية". "أي بمجرد أن يكتسب المهاجمون موطئ قدم مبدئيًا على الأنظمة."

ومن بين العيوب التي صنفتها مايكروسوفت على أنها مهمة، ولكنها تحتاج إلى اهتمام سريع، هي CVE-2024-0056، يقول عباسي: إنها ميزة تجاوز الأمان في SQL. ويشير إلى أن هذا الخلل يمكّن المهاجم من تنفيذ هجوم الآلة في الوسط، واعتراض وربما تغيير حركة مرور TLS بين العميل والخادم. "في حالة استغلالها، يمكن للمهاجم فك تشفير أو قراءة أو تعديل حركة مرور TLS الآمنة، مما ينتهك سرية البيانات وسلامتها." يقول عباسي إن المهاجم يمكنه أيضًا الاستفادة من الخلل لاستغلال SQL Server عبر موفر بيانات SQL.

الطابع الزمني:

اكثر من قراءة مظلمة