- بواسطة x32x01 ||
تقوم Microsoft بإصلاح 72 عيبًا، بما في ذلك تصحيح ثغرة CLFS المستغلة بشكل نشط
أنهت Microsoft تحديثات Patch Tuesday لعام 2024 بإصلاحات لما مجموعه 72 ثغرة أمنية تغطي مجموعة برامجها، بما في ذلك ثغرة قالت إنها تم استغلالها بشكل عشوائي.
من بين 72 عيبًا، تم تصنيف 17 منها بأنها خطيرة، و54 تم تصنيفها على أنها مهمة، وواحدة تم تصنيفها على أنها متوسطة الخطورة. واحدة وثلاثون من نقاط الضعف هي عيوب في تنفيذ التعليمات البرمجية عن بعد، و27 منها تسمح برفع الامتيازات.
هذا بالإضافة إلى 13 نقطة ضعف عالجتها الشركة في متصفح Edge المبني على Chromium منذ إصدار التحديث الأمني الشهر الماضي. في المجمل، قامت Microsoft بحل ما يصل إلى 1088 نقطة ضعف في عام 2024 وحده، وفقًا لـ Fortra.
الثغرة الأمنية التي اعترفت Microsoft باستغلالها بشكل نشط هي CVE-2024-49138 (درجة CVSS: 7.8)، وهي ثغرة في تصعيد الامتيازات في برنامج تشغيل نظام ملفات السجل المشترك (CLFS) في Windows.
وقالت الشركة في تقرير استشاري: "إن المهاجم الذي نجح في استغلال هذه الثغرة الأمنية يمكن أن يحصل على امتيازات النظام"، ونسبت الفضل لشركة الأمن السيبراني CrowdStrike لاكتشاف الخلل والإبلاغ عنه.
تجدر الإشارة إلى أن CVE-2024-49138 هو خامس خلل في تصعيد امتيازات CLFS يتم استغلاله بشكل نشط منذ عام 2022 بعد CVE-2022-24521 وCVE-2022-37969 وCVE-2023-23376 وCVE-2023-28252 (درجات CVSS: 7.
). إنها أيضًا الثغرة التاسعة في نفس المكون التي سيتم تصحيحها هذا العام.
على الرغم من أن تفاصيل الاستغلال غير معروفة حتى الآن، وبالنظر إلى تاريخ ثغرات برنامج تشغيل CLFS، فمن المثير للاهتمام ملاحظة أن مشغلي برامج الفدية قد طوروا ميلًا لاستغلال ارتفاع CLFS لعيوب الامتياز على مدى السنوات القليلة الماضية. وقال ساتنام نارانغ، كبير مهندسي الأبحاث في شركة Tenable، لصحيفة The Hacker News.
"على عكس مجموعات التهديد المستمر المتقدمة التي تركز عادةً على الدقة والصبر، يركز مشغلو برامج الفدية والشركات التابعة لها على تكتيكات التحطيم والاستيلاء بأي وسيلة ضرورية. ومن خلال استخدام عيوب رفع الامتيازات مثل هذه الموجودة في CLFS، يمكن للشركات التابعة لبرامج الفدية التحرك عبر منطقة معينة الشبكة لسرقة البيانات وتشفيرها والبدء في ابتزاز ضحاياهم."
حقيقة أن CLFS أصبح مسار هجوم جذابًا للجهات الفاعلة الضارة لم تمر دون أن تلاحظها Microsoft، التي قالت إنها تعمل على إضافة خطوة تحقق جديدة عند تحليل ملفات السجل هذه.
لاحظت Microsoft في أواخر أغسطس 2024: "بدلاً من محاولة التحقق من صحة القيم الفردية في هياكل بيانات ملف السجل، يوفر تخفيف الأمان هذا لـ CLFS القدرة على اكتشاف متى تم تعديل ملفات السجل بواسطة أي شيء آخر غير برنامج تشغيل CLFS نفسه". عن طريق إضافة رموز مصادقة الرسائل المستندة إلى التجزئة (HMAC) إلى نهاية ملف السجل."
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) منذ ذلك الحين الخلل إلى كتالوج الثغرات الأمنية المعروفة (KEV)، مما يتطلب من وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) تطبيق العلاجات اللازمة ديسمبر 2024.
الخطأ الأكثر خطورة في إصدار هذا الشهر هو خلل في تنفيذ التعليمات البرمجية عن بعد مما يؤثر على بروتوكول الوصول إلى الدليل الخفيف لنظام التشغيل Windows (LDAP). يتم تعقبه كـ CVE-2024-49112 (درجة CVSS: 9..
وقالت مايكروسوفت: "يمكن للمهاجم غير المصادق عليه الذي نجح في استغلال هذه الثغرة الأمنية أن يحصل على تنفيذ تعليمات برمجية من خلال مجموعة مصممة خصيصًا من استدعاءات LDAP لتنفيذ تعليمات برمجية عشوائية في سياق خدمة LDAP".
تجدر الإشارة أيضًا إلى وجود ثلاثة عيوب أخرى في تنفيذ التعليمات البرمجية عن بُعد تؤثر على Windows Hyper-V (CVE-2024-49117، درجة CVSS: 8.8)، وRemote Desktop Client (CVE-2024-49105، درجة CVSS: 8.4)، وMicrosoft Muzic (CVE-). 2024-49063، درجة CVSS: 8.4).
يأتي التطوير في الوقت الذي أصدرت فيه 0patch إصلاحات غير رسمية لثغرة أمنية في نظام التشغيل Windows تسمح للمهاجمين بالتقاط بيانات اعتماد NT LAN Manager (NTLM). تم حجب تفاصيل إضافية حول الخلل حتى يتوفر التصحيح الرسمي.
"تسمح الثغرة الأمنية للمهاجم بالحصول على بيانات اعتماد NTLM الخاصة بالمستخدم بمجرد جعل المستخدم يعرض ملفًا ضارًا في Windows Explorer - على سبيل المثال، عن طريق فتح مجلد مشترك أو قرص USB به هذا الملف، أو عرض مجلد التنزيلات حيث تم تنزيل هذا الملف تلقائيًا مسبقًا قال ميتجا كولسيك: "من صفحة الويب الخاصة بالمهاجم".
وفي أواخر أكتوبر، تم أيضًا توفير تصحيحات مجانية غير رسمية لمعالجة ثغرة اليوم الأول لـ Windows Themes والتي تسمح للمهاجمين بسرقة بيانات اعتماد NTLM الخاصة بالهدف عن بُعد.
أصدرت 0patch أيضًا تصحيحات دقيقة لثغرة أمنية أخرى لم تكن معروفة سابقًا على Windows Server 2012 وServer 2012 R2 والتي تسمح للمهاجم بتجاوز إجراءات حماية Mark-of-the-Web (MotW) على أنواع معينة من الملفات. ويعتقد أن هذه المشكلة قد تم طرحها منذ أكثر من عامين.
مع تعرض NTLM للاستغلال المكثف عبر هجمات الترحيل وتمرير التجزئة، أعلنت Microsoft عن خطط لإهمال بروتوكول المصادقة القديم لصالح Kerberos. علاوة على ذلك، فقد اتخذت خطوة لتمكين الحماية الموسعة للمصادقة (EPA) افتراضيًا لعمليات التثبيت الجديدة والحالية لـ Exchange 2019.
قالت Microsoft إنها طرحت تحسينًا أمنيًا مشابهًا لخدمات شهادات Azure Directory (AD CS) من خلال تمكين EPA افتراضيًا مع إصدار Windows Server 2025، والذي يزيل أيضًا دعم NTLM v1 ويتجاهل NTLM v2. تنطبق هذه التغييرات أيضًا على نظام التشغيل Windows 11 24H2.
وقال فريق أمان ريدموند في وقت سابق من هذا الأسبوع: "بالإضافة إلى ذلك، كجزء من نفس إصدار Windows Server 2025، أصبح LDAP الآن مزودًا بربط القنوات افتراضيًا". "تعمل هذه التحسينات الأمنية على تقليل مخاطر هجمات ترحيل NTLM افتراضيًا عبر ثلاث خدمات محلية: Exchange Server، وخدمات شهادات Active Directory (AD CS)، وLDAP."
"مع تقدمنا نحو تعطيل NTLM افتراضيًا، تعمل التغييرات الفورية وقصيرة المدى، مثل تمكين EPA في Exchange Server وAD CS وLDAP على تعزيز الوضع "الآمن افتراضيًا" وحماية المستخدمين من هجمات العالم الحقيقي.
أنهت Microsoft تحديثات Patch Tuesday لعام 2024 بإصلاحات لما مجموعه 72 ثغرة أمنية تغطي مجموعة برامجها، بما في ذلك ثغرة قالت إنها تم استغلالها بشكل عشوائي.
من بين 72 عيبًا، تم تصنيف 17 منها بأنها خطيرة، و54 تم تصنيفها على أنها مهمة، وواحدة تم تصنيفها على أنها متوسطة الخطورة. واحدة وثلاثون من نقاط الضعف هي عيوب في تنفيذ التعليمات البرمجية عن بعد، و27 منها تسمح برفع الامتيازات.
هذا بالإضافة إلى 13 نقطة ضعف عالجتها الشركة في متصفح Edge المبني على Chromium منذ إصدار التحديث الأمني الشهر الماضي. في المجمل، قامت Microsoft بحل ما يصل إلى 1088 نقطة ضعف في عام 2024 وحده، وفقًا لـ Fortra.
الثغرة الأمنية التي اعترفت Microsoft باستغلالها بشكل نشط هي CVE-2024-49138 (درجة CVSS: 7.8)، وهي ثغرة في تصعيد الامتيازات في برنامج تشغيل نظام ملفات السجل المشترك (CLFS) في Windows.
وقالت الشركة في تقرير استشاري: "إن المهاجم الذي نجح في استغلال هذه الثغرة الأمنية يمكن أن يحصل على امتيازات النظام"، ونسبت الفضل لشركة الأمن السيبراني CrowdStrike لاكتشاف الخلل والإبلاغ عنه.
تجدر الإشارة إلى أن CVE-2024-49138 هو خامس خلل في تصعيد امتيازات CLFS يتم استغلاله بشكل نشط منذ عام 2022 بعد CVE-2022-24521 وCVE-2022-37969 وCVE-2023-23376 وCVE-2023-28252 (درجات CVSS: 7.
). إنها أيضًا الثغرة التاسعة في نفس المكون التي سيتم تصحيحها هذا العام.على الرغم من أن تفاصيل الاستغلال غير معروفة حتى الآن، وبالنظر إلى تاريخ ثغرات برنامج تشغيل CLFS، فمن المثير للاهتمام ملاحظة أن مشغلي برامج الفدية قد طوروا ميلًا لاستغلال ارتفاع CLFS لعيوب الامتياز على مدى السنوات القليلة الماضية. وقال ساتنام نارانغ، كبير مهندسي الأبحاث في شركة Tenable، لصحيفة The Hacker News.
"على عكس مجموعات التهديد المستمر المتقدمة التي تركز عادةً على الدقة والصبر، يركز مشغلو برامج الفدية والشركات التابعة لها على تكتيكات التحطيم والاستيلاء بأي وسيلة ضرورية. ومن خلال استخدام عيوب رفع الامتيازات مثل هذه الموجودة في CLFS، يمكن للشركات التابعة لبرامج الفدية التحرك عبر منطقة معينة الشبكة لسرقة البيانات وتشفيرها والبدء في ابتزاز ضحاياهم."
حقيقة أن CLFS أصبح مسار هجوم جذابًا للجهات الفاعلة الضارة لم تمر دون أن تلاحظها Microsoft، التي قالت إنها تعمل على إضافة خطوة تحقق جديدة عند تحليل ملفات السجل هذه.
لاحظت Microsoft في أواخر أغسطس 2024: "بدلاً من محاولة التحقق من صحة القيم الفردية في هياكل بيانات ملف السجل، يوفر تخفيف الأمان هذا لـ CLFS القدرة على اكتشاف متى تم تعديل ملفات السجل بواسطة أي شيء آخر غير برنامج تشغيل CLFS نفسه". عن طريق إضافة رموز مصادقة الرسائل المستندة إلى التجزئة (HMAC) إلى نهاية ملف السجل."
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) منذ ذلك الحين الخلل إلى كتالوج الثغرات الأمنية المعروفة (KEV)، مما يتطلب من وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) تطبيق العلاجات اللازمة ديسمبر 2024.
الخطأ الأكثر خطورة في إصدار هذا الشهر هو خلل في تنفيذ التعليمات البرمجية عن بعد مما يؤثر على بروتوكول الوصول إلى الدليل الخفيف لنظام التشغيل Windows (LDAP). يتم تعقبه كـ CVE-2024-49112 (درجة CVSS: 9.
.وقالت مايكروسوفت: "يمكن للمهاجم غير المصادق عليه الذي نجح في استغلال هذه الثغرة الأمنية أن يحصل على تنفيذ تعليمات برمجية من خلال مجموعة مصممة خصيصًا من استدعاءات LDAP لتنفيذ تعليمات برمجية عشوائية في سياق خدمة LDAP".
تجدر الإشارة أيضًا إلى وجود ثلاثة عيوب أخرى في تنفيذ التعليمات البرمجية عن بُعد تؤثر على Windows Hyper-V (CVE-2024-49117، درجة CVSS: 8.8)، وRemote Desktop Client (CVE-2024-49105، درجة CVSS: 8.4)، وMicrosoft Muzic (CVE-). 2024-49063، درجة CVSS: 8.4).
يأتي التطوير في الوقت الذي أصدرت فيه 0patch إصلاحات غير رسمية لثغرة أمنية في نظام التشغيل Windows تسمح للمهاجمين بالتقاط بيانات اعتماد NT LAN Manager (NTLM). تم حجب تفاصيل إضافية حول الخلل حتى يتوفر التصحيح الرسمي.
"تسمح الثغرة الأمنية للمهاجم بالحصول على بيانات اعتماد NTLM الخاصة بالمستخدم بمجرد جعل المستخدم يعرض ملفًا ضارًا في Windows Explorer - على سبيل المثال، عن طريق فتح مجلد مشترك أو قرص USB به هذا الملف، أو عرض مجلد التنزيلات حيث تم تنزيل هذا الملف تلقائيًا مسبقًا قال ميتجا كولسيك: "من صفحة الويب الخاصة بالمهاجم".
وفي أواخر أكتوبر، تم أيضًا توفير تصحيحات مجانية غير رسمية لمعالجة ثغرة اليوم الأول لـ Windows Themes والتي تسمح للمهاجمين بسرقة بيانات اعتماد NTLM الخاصة بالهدف عن بُعد.
أصدرت 0patch أيضًا تصحيحات دقيقة لثغرة أمنية أخرى لم تكن معروفة سابقًا على Windows Server 2012 وServer 2012 R2 والتي تسمح للمهاجم بتجاوز إجراءات حماية Mark-of-the-Web (MotW) على أنواع معينة من الملفات. ويعتقد أن هذه المشكلة قد تم طرحها منذ أكثر من عامين.
مع تعرض NTLM للاستغلال المكثف عبر هجمات الترحيل وتمرير التجزئة، أعلنت Microsoft عن خطط لإهمال بروتوكول المصادقة القديم لصالح Kerberos. علاوة على ذلك، فقد اتخذت خطوة لتمكين الحماية الموسعة للمصادقة (EPA) افتراضيًا لعمليات التثبيت الجديدة والحالية لـ Exchange 2019.
قالت Microsoft إنها طرحت تحسينًا أمنيًا مشابهًا لخدمات شهادات Azure Directory (AD CS) من خلال تمكين EPA افتراضيًا مع إصدار Windows Server 2025، والذي يزيل أيضًا دعم NTLM v1 ويتجاهل NTLM v2. تنطبق هذه التغييرات أيضًا على نظام التشغيل Windows 11 24H2.
وقال فريق أمان ريدموند في وقت سابق من هذا الأسبوع: "بالإضافة إلى ذلك، كجزء من نفس إصدار Windows Server 2025، أصبح LDAP الآن مزودًا بربط القنوات افتراضيًا". "تعمل هذه التحسينات الأمنية على تقليل مخاطر هجمات ترحيل NTLM افتراضيًا عبر ثلاث خدمات محلية: Exchange Server، وخدمات شهادات Active Directory (AD CS)، وLDAP."
"مع تقدمنا نحو تعطيل NTLM افتراضيًا، تعمل التغييرات الفورية وقصيرة المدى، مثل تمكين EPA في Exchange Server وAD CS وLDAP على تعزيز الوضع "الآمن افتراضيًا" وحماية المستخدمين من هجمات العالم الحقيقي.