اکنون وصله کنید: باگ بحرانی Kerberos ویندوز امنیت مایکروسافت را دور می زند

اکنون وصله کنید: باگ بحرانی Kerberos ویندوز امنیت مایکروسافت را دور می زند

تمبر زمان: 9 ژانویه 2024، ساعت 6:00 بعد از ظهر
گره منبع: 3052688

مایکروسافت تیم‌های امنیتی سازمانی را تا سال 2024 با یک به‌روزرسانی امنیتی نسبتاً سبک در ژانویه متشکل از وصله‌های مربوط به 48 CVE منحصربه‌فرد، که شرکت تنها دو مورد از آن‌ها را به‌عنوان دارای شدت بحرانی شناسایی کرد، تسهیل کرد.

برای دومین ماه متوالی، وصله سه‌شنبه مایکروسافت هیچ باگ روز صفر را شامل نمی‌شود، به این معنی که مدیران مجبور نخواهند بود با آسیب‌پذیری‌های جدیدی که مهاجمان در حال حاضر فعالانه از آن سوء استفاده می‌کنند مقابله کنند – چیزی که در سال ۲۰۲۳ مکرراً اتفاق افتاد.

فقط دو باگ با شدت بحرانی

همانطور که به طور معمول مورد است، CVEs که مایکروسافت 9 ژانویه را فاش کرد طیف وسیعی از محصولات خود را تحت تأثیر قرار داد و شامل آسیب‌پذیری‌های افزایش امتیاز، نقص‌های اجرای کد از راه دور، باگ‌های دور زدن امنیتی و سایر آسیب‌پذیری‌ها بود. این شرکت 46 مورد از نقص‌ها را به‌عنوان موارد با شدت مهم طبقه‌بندی کرد، از جمله چندین مورد که مهاجمان بیشتر از عدم سوء استفاده از آنها استفاده می‌کردند.

یکی از دو باگ مهم در آخرین به روز رسانی مایکروسافت این است CVE-2024-20674یک ویژگی امنیتی Windows Kerberos برای دور زدن آسیب‌پذیری است که به مهاجمان اجازه می‌دهد مکانیسم‌های احراز هویت را دور بزنند و حملات جعل هویت را انجام دهند. سعید عباسی، مدیر تحقیقات آسیب‌پذیری در Qualys در اظهار نظر برای Dark Reading می‌گوید: «هجوم‌کنندگان می‌توانند از طریق یک حمله ماشین در وسط (MitM) از این نقص سوء استفاده کنند. آن‌ها با راه‌اندازی یک سناریوی جعل شبکه محلی و سپس ارسال پیام‌های مخرب Kerberos به این امر دست می‌یابند تا یک ماشین کلاینت را فریب دهند تا باور کند با یک سرور تأیید اعتبار Kerberos قانونی ارتباط برقرار می‌کند.»

این آسیب پذیری مستلزم آن است که مهاجم به همان شبکه محلی هدف دسترسی داشته باشد. از راه دور از طریق اینترنت قابل بهره برداری نیست و نیاز به نزدیکی به شبکه داخلی دارد. عباسی می گوید، با این وجود، احتمال تلاش های بهره برداری فعال در آینده نزدیک زیاد است.

کن برین، مدیر ارشد تحقیقات تهدید در آزمایشگاه Immersive، شناسایی کرد CVE-2024-20674 به عنوان یک باگ که سازمان ها به خوبی آن را به سرعت برطرف می کنند. بر اساس بیانیه Breen، "این نوع از بردارهای حمله همیشه برای عوامل تهدید مانند اپراتورهای باج افزار و کارگزاران دسترسی ارزشمند هستند" زیرا آنها دسترسی قابل توجهی به شبکه های سازمانی را امکان پذیر می کنند.

آسیب‌پذیری مهم دیگر در آخرین دسته از به‌روزرسانی‌های امنیتی مایکروسافت، CVE-2024-20700 است، یک آسیب‌پذیری اجرای کد از راه دور در فناوری Hyper-Virtualization ویندوز. به گفته بن مک کارتی، مهندس ارشد امنیت سایبری در آزمایشگاه Immersive، استفاده از این آسیب‌پذیری به خصوص آسان نیست، زیرا برای انجام این کار، یک مهاجم ابتدا باید در داخل شبکه و در مجاورت یک رایانه آسیب‌پذیر باشد.

این آسیب‌پذیری همچنین شامل یک شرایط مسابقه می‌شود - یک نوع مسئله که سوء استفاده از آن برای مهاجم سخت‌تر از بسیاری از انواع آسیب‌پذیری‌های دیگر است. مک کارتی گفت: «این آسیب‌پذیری به‌عنوان بهره‌برداری با احتمال کمتر منتشر شده است، اما از آنجایی که Hyper-V به عنوان بالاترین امتیازات در یک رایانه اجرا می‌شود، ارزش آن را دارد که درباره وصله کردن آن فکر کنیم.

اشکالات اجرای کد از راه دور با اولویت بالا

محققان امنیتی به دو باگ دیگر RCE در به‌روزرسانی ژانویه اشاره کردند که شایسته توجه اولویت هستند: CVE-2024-21307 در Windows Remote Desktop Client و CVE-2024-21318 در سرور شیرپوینت

به گفته برین، مایکروسافت CVE-2024-21307 را به عنوان آسیب‌پذیری شناسایی کرده است که مهاجمان بیشتر از آن سوء استفاده می‌کنند، اما اطلاعات کمی در مورد علت آن ارائه کرده است. این شرکت خاطرنشان کرده است که مهاجمان غیرمجاز باید منتظر بمانند تا کاربر یک اتصال را آغاز کند تا بتواند از این آسیب‌پذیری سوء استفاده کند.  

برین گفت: «این بدان معناست که مهاجمان باید یک سرور RDP مخرب ایجاد کنند و از تکنیک‌های مهندسی اجتماعی برای فریب دادن کاربر برای اتصال استفاده کنند. "این کار آنقدرها هم که به نظر می رسد دشوار نیست، زیرا نصب سرورهای RDP مخرب برای مهاجمان نسبتاً آسان است و سپس ارسال پیوست های .rdp در ایمیل ها به این معنی است که کاربر فقط باید پیوست را باز کند تا اکسپلویت را راه اندازی کند."

چند اشکال افزایش امتیاز قابل بهره برداری بیشتر

به‌روزرسانی ژانویه مایکروسافت شامل وصله‌هایی برای چندین آسیب‌پذیری افزایش امتیاز بود. از جمله شدیدترین آنها برای CVE-2023-21310, یک اشکال افزایش امتیاز در Windows Cloud Files Mini Filter Driver. نقص بسیار شبیه به CVE-2023-36036یک آسیب‌پذیری افزایش امتیاز روز صفر در همان فناوری که مایکروسافت در آن فاش کرد به روز رسانی امنیتی نوامبر 2023.

مهاجمان به طور فعال از این نقص برای به دست آوردن امتیازات سطح سیستم در ماشین‌های محلی استفاده کردند - کاری که می‌توانند با آسیب‌پذیری تازه فاش شده نیز انجام دهند. برین گفت: «این نوع گام افزایش امتیاز اغلب توسط عوامل تهدید در مصالحه‌های شبکه مشاهده می‌شود. "این می تواند مهاجم را قادر سازد که ابزارهای امنیتی را غیرفعال کند یا ابزارهای تخلیه اعتبار مانند Mimikatz را اجرا کند که سپس می تواند حرکت جانبی یا به خطر انداختن حساب های دامنه را فعال کند."

برخی از دیگر اشکالات مهم افزایش امتیاز شامل می شوند CVE-2024-20653 در سیستم فایل لاگ مشترک ویندوز، CVE-2024-20698 در کرنل ویندوز، CVE-2024-20683 در Win32k، و CVE-2024-20686 در Win32k طبق بیانیه ساتنام نارنگ، مهندس ارشد تحقیقاتی کارکنان در Tenable، مایکروسافت همه این نقص‌ها را به‌عنوان مشکلاتی که مهاجمان احتمال سوءاستفاده بیشتری دارند، ارزیابی کرده است. او گفت: «این اشکالات معمولاً به عنوان بخشی از فعالیت های پس از سازش استفاده می شوند. "یعنی زمانی که مهاجمان یک جای پای اولیه را در سیستم ها به دست آوردند."

از جمله ایراداتی که مایکروسافت آنها را به عنوان مهم رتبه بندی کرده است، اما نیاز به توجه سریع دارند، این است CVE-2024-0056 ، عباسی می گوید یک ویژگی دور زدن امنیتی در SQL. او خاطرنشان می کند که این نقص به مهاجم امکان می دهد تا یک حمله ماشینی در وسط انجام دهد، ترافیک TLS بین مشتری و سرور را رهگیری و به طور بالقوه تغییر دهد. اگر مهاجم مورد سوء استفاده قرار گیرد، می‌تواند ترافیک امن TLS را رمزگشایی، بخواند یا تغییر دهد و محرمانگی و یکپارچگی داده‌ها را نقض کند. عباسی می گوید که یک مهاجم همچنین می تواند از این نقص استفاده کند تا از SQL Server از طریق SQL Data Provider سوء استفاده کند.

تمبر زمان:

بیشتر از تاریک خواندن