Η مایکروسافت أصدر تحديثات أمنية لشهر أبريل 2024 لإصلاح أحد السجلات 149 عيوب ، اثنان منها تم استغلالهما بشكل نشط في البرية.
من بين 149 عيبًا، تم تصنيف ثلاثة منها بأنها خطيرة، و142 تم تصنيفها على أنها مهمة، وثلاثة تم تصنيفها على أنها متوسطة، وواحد تم تصنيفه على أنه منخفض الخطورة. التحديث غير وارد 21 نقاط الضعف التي واجهتها الشركة في متصفح Edge المبني على Chromium بعد حركة المرور من إصلاحات التصحيح ليوم الثلاثاء مارس 2024 .
النقصان اللذان تم استغلالهما بنشاط هما ما يلي -
- CVE-2024-26234 (درجة CVSS: 6,7) – ثغرة أمنية في انتحال برنامج تشغيل الوكيل
- CVE-2024-29988 (درجة CVSS: 8,8) - ميزات أمان SmartScreen السريعة تتجاوز الثغرة الأمنية
في حين أن نصائح Microsoft لا توفر معلومات حول CVE-2024-26234، قالت شركة الأمن السيبراني Sophos إنها اكتشفت في ديسمبر 2023 ملفًا ضارًا قابلاً للتنفيذ ("Catalog.exe" أو "Catalog Authentication Client Service") وهو وقعت من ناشر صالح لتوافق أجهزة Microsoft Windows ( WHCP ) شهادة.
تحليل رمز المصادقة كشف الثنائي عن الناشر الأصلي للطلب لشركة Hainan YouHu Technology Co. Ltd، وهي أيضًا الناشر لأداة أخرى تسمى LaiXi Android Screen Mirroring.
يوصف الأخير بأنه "برنامج تسويق... [يمكنه] توصيل مئات الهواتف المحمولة والتحكم فيها على دفعات وأتمتة المهام مثل متابعة المجموعة والإعجاب والتعليق".
ضمن خدمة المصادقة المفترضة يوجد مكون يسمى 3proxy وهو مصمم لمراقبة واعتراض حركة مرور الشبكة على النظام المصاب، ويعمل بشكل فعال كباب خلفي.
"ليس لدينا أي دليل يشير إلى أن مطوري LaiXi قاموا بدمج الملف الضار عمدًا في منتجهم، أو أن جهة تهديد نفذت هجومًا على سلسلة التوريد لإدخاله في عملية إنشاء/إنشاء تطبيق LaiXi." قال الباحث سوفوس أندرياس كلوبش. .
وقالت شركة الأمن السيبراني أيضًا إنها اكتشفت العديد من المتغيرات الأخرى للباب الخلفي بحلول 5 يناير 2023، مما يشير إلى أن الحملة مستمرة منذ ذلك الحين على الأقل. قامت Microsoft منذ ذلك الحين بإضافة الملفات ذات الصلة إلى قائمة الاستدعاء الخاصة بها.
وقالت مايكروسوفت: "لاستغلال ميزة الأمان هذه لتجاوز الثغرة الأمنية، سيتعين على المهاجم إقناع المستخدم بإطلاق ملفات ضارة باستخدام مشغل يطلب عدم عرض واجهة المستخدم".
"في سيناريو هجوم البريد الإلكتروني أو الرسائل الفورية، يمكن للمهاجم أن يرسل للمستخدم المستهدف ملفًا معدًا خصيصًا مصممًا لاستغلال ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد."
مبادرة يوم الصفر أظهرت أن هناك أدلة على استغلال الخلل في البرية، على الرغم من أن مايكروسوفت قد وضعت عليه تصنيف "الاستغلال الأكثر احتمالا".
قضية أخرى مهمة هي الضعف CVE-2024-29990 (درجة CVSS: 9.0)، وهو ارتفاع في خلل الامتياز الذي يؤثر على البيانات السرية لحاوية خدمة Microsoft Azure Kubernetes والتي يمكن استغلالها من قبل مهاجمين غير مصادق عليهم لسرقة بيانات الاعتماد.
قال ريدموند: "يمكن للمهاجم الوصول إلى عقدة AKS Kubernetes غير الموثوقة وحاوية AKS السرية للاستيلاء على الضيوف والحاويات السرية خارج نطاق مكدس الشبكة الذي قد يرتبطون به".
بشكل عام، يتميز الإصدار بمعالجة ما يصل إلى 68 عملية تنفيذ للتعليمات البرمجية عن بعد، و31 تصعيد الامتيازات، و26 تجاوزًا لميزات الأمان، وستة أخطاء في رفض الخدمة (DoS). ومن المثير للاهتمام أن 24 من أصل 26 خطأ في تجاوز الأمان تتعلق بالتمهيد الآمن.
"على الرغم من عدم وجود أي من نقاط الضعف هذه التشغيل الآمن وقال ساتنام نارانج، كبير مهندسي الأبحاث في شركة Tenable، إن هذه الأخطاء التي تم تناولها هذا الشهر لم يتم استغلالها بشكل مباشر، فهي بمثابة تذكير بأن العيوب في Secure Boot لا تزال موجودة ويمكننا أن نرى المزيد من الأنشطة الضارة المرتبطة بالتمهيد الآمن في المستقبل. تصريح.
ويأتي الوحي كما فعلت مايكروسوفت مواجهة النقد لممارساتها الأمنية، مع تقرير حديث صادر عن مجلس مراجعة الأمن السيبراني الأمريكي (CSRB) ينتقد الشركة لعدم بذلها ما يكفي لمنع حملة تجسس عبر الإنترنت يديرها ممثل تهديد صيني تم تعقبه باسم ستورم. -0558 العام الماضي.
كما أنه يتبع قرار الشركة نشر بيانات السبب الجذري بحثًا عن العيوب الأمنية باستخدام معيار الصناعة الخاص بتعداد نقاط الضعف الشائعة (CWE). ومع ذلك، تجدر الإشارة إلى أن التغييرات لا تنطبق إلا بدءًا من النصائح المنشورة اعتبارًا من مارس 2024.
قال آدم بارنيت، مهندس البرمجيات الرئيسي في Rapid7، في بيان تمت مشاركته مع The Hacker News: "إن إضافة تقييمات CWE إلى الاستشارات الأمنية الخاصة بشركة Microsoft يساعد في تحديد السبب الجذري العام للثغرة الأمنية".
"قام برنامج CWE مؤخرًا بتحديث إرشاداته بشأن تعيين CVEs إلى السبب الجذري لـ CWE . يمكن أن يساعد تحليل اتجاهات CWE المطورين على تقليل الأحداث المستقبلية من خلال سير عمل واختبار دورة حياة تطوير البرمجيات (SDLC)، بالإضافة إلى مساعدة المدافعين على فهم مكان توجيه جهود الدفاع المتعمق وتعزيز التطوير لتحقيق عائد أفضل على الاستثمار.
وفي تطور ذي صلة، كشفت شركة Varonis للأمن السيبراني عن طريقتين يمكن للمهاجمين اعتمادهما لتجاوز سجلات التدقيق وتجنب إثارة أحداث التنزيل عند تصدير الملفات من SharePoint.
يستفيد الأسلوب الأول من ميزة "الفتح في التطبيق" الخاصة بـ SharePoint للوصول إلى الملفات وتنزيلها، بينما يستخدم الأسلوب الثاني وكيل المستخدم لـ Microsoft SkyDriveSync لتنزيل الملفات أو حتى المواقع بأكملها، مما يؤدي إلى تصنيف مثل هذه الأحداث بشكل خاطئ على أنها مزامنة للملفات بدلاً من التنزيلات.
"يمكن لهذه التقنيات تجاوز سياسات الكشف والتنفيذ للأدوات التقليدية، مثل وسطاء أمان الوصول إلى السحابة، ومنع فقدان البيانات، وSIEMs، عن طريق إخفاء التنزيلات على أنها أحداث وصول ومزامنة أقل مشبوهة." هو قال إريك ساراجا.
إصلاحات برامج الطرف الثالث
بالإضافة إلى Microsoft، تم أيضًا إصدار تحديثات أمنية من قبل موردين آخرين في الأسابيع الأخيرة لإصلاح العديد من الثغرات الأمنية، بما في ذلك:
- أدوبي
- AMD
- أندرويد
- أمان Apache XML لـ C++
- أروبا نتوركس
- اتوس
- بوش
- سيسكو
- دي لينك
- ديل
- دروبال
- F5
- فورتينت
- فورترا
- GitLab
- جوجل كروم
- سحابة جوجل
- جوجل بكسل
- Hikvision
- هيتاشي للطاقة
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- إيفانتي
- جنكينز
- Lenovo
- إل جي ويب أو إس
- توزيعات لينكس ديبيان, أوراكل لينكس, ريد هات, SUSEو أوبونتو
- ميديا تيك
- Mozilla Firefox و Firefox ESR و Thunderbird
- NETGEAR
- NVIDIA
- كوالكوم
- روكويل أتمتة
- Rust
- سامسونج
- SAP
- شنايدر إلكتريك
- سيمنز
- Splunk
- Synology
- في إم وير
- WordPress
- زوم
