إنه الثلاثاء الثاني من الشهر ، وقد أصدرت Microsoft مجموعة أخرى من التحديثات الأمنية لإصلاح ما مجموعه 97 عيبًا يؤثر على برامجها ، وقد تم استغلال أحدها بنشاط في هجمات برامج الفدية في البرية.
تم تصنيف سبعة من الأخطاء 97 حرجة وتم تصنيف 90 منها بأنها مهمة في الخطورة. ومن المثير للاهتمام ، أن 45 من أوجه القصور عبارة عن عيوب في تنفيذ التعليمات البرمجية عن بُعد ، تليها 20 نقطة ضعف في الامتيازات. تتبع التحديثات أيضًا إصلاحات لـ 26 ثغرة أمنية في متصفح Edge الذي تم إصداره خلال الشهر الماضي.
الخلل الأمني الذي يقع تحت الاستغلال النشط هو CVE-2023-28252 (درجة CVSS: 7.8) ، خطأ تصعيد الامتياز في برنامج تشغيل نظام ملفات سجل Windows المشترك (CLFS).
وقالت مايكروسوفت في تقرير استشاري: "المهاجم الذي نجح في استغلال هذه الثغرة الأمنية يمكن أن يحصل على امتيازات النظام".
CVE-2023-28252 هو الخلل الرابع في تصعيد الامتياز في مكون CLFS الذي تعرض لإساءة استخدام نشطة في العام الماضي وحده بعد CVE-2022-24521 و CVE-2022-37969 و CVE-2023-23376 (درجات CVSS: 7.8 ). تم تحديد ما لا يقل عن 32 نقطة ضعف في CLFS منذ عام 2018.
وفقًا لشركة الأمن السيبراني الروسية Kaspersky ، تم تسليح الثغرة الأمنية من قبل مجموعة جرائم الإنترنت لنشر Nokoyawa ransomware ضد الشركات الصغيرة والمتوسطة الحجم في الشرق الأوسط وأمريكا الشمالية وآسيا.
قال لارين: "CVE-2023-28252 هو ثغرة في الكتابة (زيادة) خارج الحدود يمكن استغلالها عندما يحاول النظام توسيع كتلة البيانات الوصفية" . "يتم تشغيل الثغرة الأمنية من خلال معالجة ملف السجل الأساسي."
في ضوء الاستغلال المستمر للخطأ ، أضاف CISA نظام التشغيل Windows Zero-Day إلى كتالوج ثغرات الاستغلال المعروفة ( KEV ) ، وأمر وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) بتأمين أنظمتها بحلول 2 مايو 2023.
تم أيضًا تصحيح عيوب تنفيذ التعليمات البرمجية عن بُعد الحرجة التي تؤثر على خدمة خادم DHCP ، وبروتوكول نفق الطبقة الثانية ، وامتداد الصور الخام ، وبروتوكول نفق Windows من نقطة إلى نقطة ، والبث المتعدد العمومي للويندوز ، ووضع الرسائل في قائمة انتظار Microsoft (MSMQ ) .
يمكن أن يؤدي خطأ MSMQ ، الذي تم تتبعه على أنه CVE-2023-21554 (درجة CVSS: 9.8) والمسمى QueueJumper بواسطة Check Point ، إلى تنفيذ تعليمات برمجية غير مصرح به والاستيلاء على الخادم عن طريق إرسال حزمة MSMQ ضارة مصممة خصيصًا إلى خادم MSMQ.
قال الباحث في Check Point Haifei Li: "تتيح الثغرة الأمنية CVE-2023-21554 للمهاجم إمكانية تنفيذ التعليمات البرمجية عن بُعد وبدون إذن من خلال الوصول إلى منفذ TCP 1801" . "بعبارة أخرى ، يمكن للمهاجم أن يتحكم في العملية من خلال حزمة واحدة فقط إلى منفذ 1801 / tcp مع الاستغلال ، مما يؤدي إلى ظهور الثغرة الأمنية."
تم اكتشاف عيبين آخرين في MSMQ ، CVE-2023-21769 و CVE-2023-28302 (درجات CVSS: 7.5) ، يمكن استغلالهما للتسبب في حالة رفض الخدمة (DoS) مثل تعطل الخدمة و Windows Blue Screen of الموت ( BSoD ).
قامت Microsoft أيضًا بتحديث استشاريها لـ CVE-2013-3900 ، وهي ثغرة أمنية للتحقق من صحة توقيع WinVerifyTrust عمرها 10 سنوات ، لتشمل إصدارات تثبيت Server Core التالية -
- Windows Server 2008 لحزمة الخدمة Service Pack 2 للأنظمة 32 بت
- Windows Server 2008 لحزمة الخدمة 2 للأنظمة المستندة إلى x65
- Windows Server 2008 R2 لخدمة الأنظمة المستندة إلى x64 1
- نظام التشغيل Windows Server 2012
- نظام التشغيل Windows Server 2012 R2
- ويندوز سيرفر 2016
- Windows Server 2019 و
- نظام التشغيل Windows Server 2022
يأتي هذا التطور في الوقت الذي لوحظ فيه ممثلو التهديد المرتبطون بكوريا الشمالية وهم يستغلون الثغرة لدمج كود القشرة المشفر في المكتبات الشرعية دون إبطال التوقيع الصادر عن Microsoft.
تصدر Microsoft إرشادات لهجمات BlackLotus Bootkit#
بالتوازي مع التحديث ، أصدر عملاق التكنولوجيا أيضًا إرشادات لـ CVE-2022-21894 (المعروف أيضًا باسم Baton Drop) ، وهو عيب تجاوز التمهيد الآمن الذي تم إصلاحه الآن والذي تم استغلاله من قبل الجهات الفاعلة في التهديد باستخدام مجموعة التمهيد للواجهة الموحدة للبرامج الثابتة (UEFI) الناشئة دعا BlackLotus لتأسيس المثابرة على مضيف.
تتضمن بعض مؤشرات الاختراق (IoCs) ملفات محمل الإقلاع التي تم إنشاؤها مؤخرًا والمؤمنة في قسم نظام EFI ( ESP ) ، وسجلات الأحداث المرتبطة بإيقاف Microsoft Defender Antivirus ، ووجود الدليل المرحلي ESP: / system32 / ، والتعديلات على التسجيل مفتاح HKLM: \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard \ Scenarios \ HypervisorEnforcedCodeIntegrity.
قال فريق Microsoft Incident Response: "تعد مجموعات إقلاع UEFI خطيرة بشكل خاص لأنها تعمل عند بدء تشغيل الكمبيوتر ، قبل تحميل نظام التشغيل ، وبالتالي يمكن أن تتداخل مع آليات أمان نظام التشغيل (OS) المختلفة أو تعطلها" .
أوصت Microsoft أيضًا المؤسسات بإزالة الأجهزة المخترقة من الشبكة وفحصها بحثًا عن دليل على نشاط المتابعة ، أو إعادة تهيئة الأجهزة أو استعادتها من نسخة احتياطية نظيفة معروفة تتضمن قسم EFI ، والحفاظ على صحة بيانات الاعتماد ، وفرض مبدأ الامتياز الأقل ( PoLP ).
تصحيحات البرامج من البائعين الآخرين#
بالإضافة إلى Microsoft ، تم إصدار تحديثات الأمان أيضًا من قبل بائعين آخرين في الأسابيع القليلة الماضية لتصحيح العديد من الثغرات الأمنية ، بما في ذلك -
- أدوبي
- AMD
- ذكري المظهر
- مشاريع اباتشي
- تفاحة
- ذراع
- شبكات أروبا
- سيسكو
- سيتريكس
- رموز
- ديل
- دروبال
- F5
- فورتينت
- جيت لاب
- جوجل كروم
- HP
- آي بي إم
- جينكينز
- جونيبر نتوركس
- لينوفو
- توزيعات Linux Debian و Oracle Linux و Red Hat و SUSE و Ubuntu
- ميديا تيك
- Mozilla Firefox و Firefox ESR و Thunderbird
- NETGEAR
- نفيديا
- شبكات بالو ألتو
- كوالكوم
- سامبا
- سامسونج
- العصارة
- كهرباء شنايدر
- سيمنز
- SonicWall و
- سوفوس