ابھی پیچ کریں: اہم ونڈوز کربروس بگ مائیکروسافٹ سیکیورٹی کو نظرانداز کرتا ہے۔

ابھی پیچ کریں: اہم ونڈوز کربروس بگ مائیکروسافٹ سیکیورٹی کو نظرانداز کرتا ہے۔

ٹائم سٹیمپ: 9 جنوری 2024 6:00 PM
ماخذ نوڈ: 3052688

مائیکروسافٹ نے 2024 میں انٹرپرائز سیکیورٹی ٹیموں کو نسبتاً ہلکے جنوری کے سیکیورٹی اپ ڈیٹ کے ساتھ آسان کیا جس میں 48 منفرد CVEs کے پیچ شامل تھے، جن میں سے صرف دو کو کمپنی نے انتہائی سنگینی کے طور پر شناخت کیا۔

دوسرے سیدھے مہینے کے لیے، مائیکروسافٹ کے پیچ منگل میں کوئی صفر دن کی کیڑے شامل نہیں تھے، یعنی منتظمین کو کسی بھی نئی کمزوری کا مقابلہ نہیں کرنا پڑے گا جس کا حملہ آور اس وقت فعال طور پر استحصال کر رہے ہیں - ایسا کچھ جو 2023 میں اکثر ہوا تھا۔

صرف دو کریٹیکل سیوریٹی بگز

جیسا کہ عام طور پر ہوتا ہے، CVEs کہ مائیکروسافٹ نے 9 جنوری کو انکشاف کیا۔ اس کی مصنوعات کی ایک وسیع رینج کو متاثر کیا اور اس میں استحقاق میں اضافے کی کمزوریاں، ریموٹ کوڈ پر عمل درآمد کی خامیاں، سیکیورٹی بائی پاس کیڑے، اور دیگر خطرات شامل ہیں۔ کمپنی نے 46 خامیوں کو اہم شدت کے طور پر درجہ بندی کیا، جس میں کئی ایسی ہیں جن کا فائدہ نہ اٹھانے کے بجائے حملہ آوروں کا زیادہ امکان تھا۔

مائیکروسافٹ کی تازہ ترین تازہ کاری میں دو اہم شدت والے کیڑے میں سے ایک ہے۔ CVE-2024-20674, Windows Kerberos سیکورٹی فیچر بائی پاس کمزوری جو حملہ آوروں کو تصدیق کے طریقہ کار کو نظرانداز کرنے اور نقالی حملے شروع کرنے کی اجازت دیتا ہے۔ ڈارک ریڈنگ پر تبصرے میں Qualys میں خطرے کی تحقیق کے مینیجر سعید عباسی کہتے ہیں، "حملہ آور اس خامی کا فائدہ ایک مشین ان دی مڈل (MitM) کے ذریعے کر سکتے ہیں۔" "وہ ایک مقامی نیٹ ورک سپوفنگ کا منظر نامہ ترتیب دے کر اور پھر ایک کلائنٹ مشین کو یہ یقین دلانے کے لیے کہ وہ ایک جائز Kerberos تصدیقی سرور کے ساتھ مواصلت کر رہے ہیں، نقصان دہ Kerberos پیغامات بھیج کر حاصل کرتے ہیں۔"

خطرے کے لیے حملہ آور کو ہدف کے طور پر اسی مقامی نیٹ ورک تک رسائی حاصل کرنے کی ضرورت ہوتی ہے۔ یہ انٹرنیٹ پر دور سے فائدہ اٹھانے کے قابل نہیں ہے اور اسے اندرونی نیٹ ورک سے قربت کی ضرورت ہے۔ عباسی کا کہنا ہے کہ اس کے باوجود، مستقبل قریب میں استحصال کی فعال کوششوں کے بہت زیادہ امکانات ہیں۔

ایمرسیو لیبز میں خطرے کی تحقیق کے سینئر ڈائریکٹر کین برین نے شناخت کی۔ CVE-2024-20674 ایک بگ کے طور پر جسے تنظیمیں تیزی سے پیچ کرنے کے لیے اچھا کام کریں گی۔ برین کے ایک بیان کے مطابق، "اس قسم کے اٹیک ویکٹرز رینسم ویئر آپریٹرز اور رسائی بروکرز جیسے دھمکی آمیز اداکاروں کے لیے ہمیشہ قیمتی ہوتے ہیں،" کیونکہ وہ انٹرپرائز نیٹ ورکس تک اہم رسائی کو قابل بناتے ہیں۔

مائیکروسافٹ کے سیکیورٹی اپ ڈیٹس کے تازہ ترین بیچ میں دوسری اہم کمزوری CVE-2024-20700 ہے، جو ونڈوز ہائپر-ورچوئلائزیشن ٹیکنالوجی میں ریموٹ کوڈ پر عمل درآمد کا خطرہ ہے۔ کمزوری کا فائدہ اٹھانا خاص طور پر آسان نہیں ہے کیونکہ ایسا کرنے کے لیے، حملہ آور کو پہلے ہی نیٹ ورک کے اندر اور کمزور کمپیوٹر سے ملحق ہونے کی ضرورت ہوگی، بین میک کارتھی کے ایک بیان کے مطابق، Immersive Labs میں سائبر سیکیورٹی کے لیڈ انجینئر۔

خطرے میں نسل کی حالت بھی شامل ہوتی ہے - ایک قسم کا مسئلہ جس کا استحصال حملہ آور کے لیے بہت سی دیگر خطرات کی اقسام کے مقابلے میں مشکل ہے۔ میک کارتھی نے کہا، "اس خطرے کو استحصال کے کم امکان کے طور پر جاری کیا گیا ہے لیکن چونکہ Hyper-V کمپیوٹر میں سب سے زیادہ مراعات کے طور پر چلتا ہے، یہ پیچنگ کے بارے میں سوچنے کے قابل ہے۔"

اعلی ترجیحی ریموٹ کوڈ پر عمل درآمد کے بگ

سیکیورٹی محققین نے جنوری کی تازہ کاری میں دو دیگر RCE کیڑے کی طرف اشارہ کیا جو ترجیحی توجہ کے قابل ہیں: CVE-2024-21307 ونڈوز ریموٹ ڈیسک ٹاپ کلائنٹ میں اور CVE-2024-21318 شیئرپوائنٹ سرور میں۔

مائیکروسافٹ نے CVE-2024-21307 کو ایک خطرے کے طور پر شناخت کیا جس کا حملہ آوروں سے فائدہ اٹھانے کا زیادہ امکان ہے لیکن برین کے مطابق، اس کے بارے میں بہت کم معلومات فراہم کی ہیں۔ کمپنی نے نوٹ کیا ہے کہ غیر مجاز حملہ آوروں کو اس خطرے کا فائدہ اٹھانے کے لیے کنکشن شروع کرنے کے لیے صارف کا انتظار کرنے کی ضرورت ہے۔  

"اس کا مطلب یہ ہے کہ حملہ آوروں کو ایک بدنیتی پر مبنی RDP سرور بنانا ہوگا اور صارف کو جوڑنے کے لیے دھوکہ دینے کے لیے سوشل انجینئرنگ تکنیک کا استعمال کرنا ہوگا،" برین نے کہا۔ "یہ اتنا مشکل نہیں ہے جتنا یہ لگتا ہے، کیونکہ نقصان دہ RDP سرورز حملہ آوروں کے لیے سیٹ اپ کرنا اور پھر ای میلز میں .rdp اٹیچمنٹ بھیجنا نسبتاً آسان ہوتا ہے اس کا مطلب ہے کہ صارف کو استحصال کو متحرک کرنے کے لیے صرف اٹیچمنٹ کو کھولنا پڑتا ہے۔"

چند مزید استحصالی استحقاق میں اضافے کے کیڑے

مائیکروسافٹ کے جنوری کے اپ ڈیٹ میں کئی استحقاق میں اضافے کے خطرات کے پیچ شامل تھے۔ ان میں سے سب سے زیادہ شدید کے لیے ہے۔ CVE-2023-21310, Windows Cloud Files Mini Filter Driver میں ایک استحقاق بڑھانے والا بگ۔ نقص بہت ملتا جلتا ہے۔ CVE-2023-36036اسی ٹیکنالوجی میں صفر دن کے استحقاق میں اضافے کا خطرہ ہے، جس کا انکشاف مائیکروسافٹ نے کیا ہے۔ نومبر 2023 سیکیورٹی اپ ڈیٹ.

حملہ آوروں نے مقامی مشینوں پر سسٹم لیول مراعات حاصل کرنے کی کوشش کرنے اور حاصل کرنے کے لیے اس خامی کا فعال طور پر فائدہ اٹھایا - جو وہ نئے انکشاف شدہ خطرے کے ساتھ بھی کر سکتے ہیں۔ برین نے کہا، "اس قسم کے استحقاق میں اضافے کا مرحلہ نیٹ ورک کے سمجھوتوں میں دھمکی دینے والے اداکاروں کے ذریعہ اکثر دیکھا جاتا ہے۔" "یہ حملہ آور کو حفاظتی ٹولز کو غیر فعال کرنے یا Mimikatz جیسے کریڈینشل ڈمپنگ ٹولز کو چلانے کے قابل بنا سکتا ہے جو اس کے بعد لیٹرل موومنٹ یا ڈومین اکاؤنٹس کے سمجھوتہ کو قابل بنا سکتا ہے۔"

دیگر اہم استحقاق میں اضافے کے کیڑے شامل ہیں۔ CVE-2024-20653 ونڈوز کامن لاگ فائل سسٹم میں، CVE-2024-20698 ونڈوز کرنل میں، CVE-2024-20683 Win32k میں، اور CVE-2024-20686 Win32k میں۔ مائیکروسافٹ نے ان تمام خامیوں کی درجہ بندی کی ہے کیونکہ حملہ آوروں کے استحصال کا زیادہ امکان ہوتا ہے، ٹین ایبل کے سینئر اسٹاف ریسرچ انجینئر ستنام نارنگ کے ایک بیان کے مطابق۔ "یہ کیڑے عام طور پر سمجھوتہ کے بعد کی سرگرمی کے حصے کے طور پر استعمال ہوتے ہیں،" انہوں نے کہا۔ "یعنی، ایک بار حملہ آوروں نے سسٹم پر ابتدائی قدم جما لیے۔"

مائیکروسافٹ نے جن خامیوں کو اہم قرار دیا، لیکن جن پر فوری توجہ کی ضرورت ہے، ان میں ہے۔ CVE-2024-0056 ، عباسی کا کہنا ہے کہ SQL میں سیکیورٹی بائی پاس کی خصوصیت۔ اس نے نوٹ کیا کہ یہ خامی حملہ آور کو مشین میں درمیانی حملہ کرنے کے قابل بناتی ہے، ایک کلائنٹ اور سرور کے درمیان TLS ٹریفک کو روکتا ہے اور ممکنہ طور پر تبدیل کرتا ہے۔ "اگر استحصال کیا جاتا ہے، تو حملہ آور محفوظ TLS ٹریفک کو ڈکرپٹ، پڑھ یا اس میں ترمیم کر سکتا ہے، ڈیٹا کی رازداری اور سالمیت کی خلاف ورزی کر سکتا ہے۔" عباسی کا کہنا ہے کہ حملہ آور ایس کیو ایل ڈیٹا پرووائیڈر کے ذریعے ایس کیو ایل سرور سے فائدہ اٹھانے کے لیے اس خامی کا بھی فائدہ اٹھا سکتا ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا