- يجلب حدث الثلاثاء التصحيحي لهذا الشهر للمستخدمين في كل مكان إجمالي 67 إصلاحًا.
- تم إطلاق ما يقرب من نصف البقع معالجة مشكلات امتياز المستخدم على جهاز الكمبيوتر.
- هيعد تنفيذ تعليمات برمجية عشوائية على جهاز كمبيوتر الضحية مشكلة تم حلها الآن.
- يتم أيضًا استغلال مكون MSHTML الخاص بـ Microsoft Office بشكل نشط.
تكتسب مجموعة التحديثات المنتظمة لشركة Redmond أهمية قصوى هذا الشهر حيث تصدر الشركة إصلاحًا لخلل فادح الخطورة.
يشار إلى هذا حاليًا من خلال مرجع تعيين نقاط الضعف ، CVE-2021-40444.
نعلم أيضًا أنه يتم استغلالها حاليًا ، في مستندات Office ، بالإضافة إلى تصحيحات مهمة لمنتجات Microsoft والخدمات السحابية.
مايكروسوفت تصلح الخروقات الأمنية عبر التصحيح الثلاثاء
خلال حدث الثلاثاء التصحيحي لهذا الشهر ، أصدرت Microsoft إجمالي 67 إصلاحًا للعديد من منتجاتها.
كان أكبر عدد من الإصلاحات ، وهو 27 إصلاحًا ، هو إصلاح المشكلات التي قد يستخدمها المهاجم لرفع مستوى الامتياز الخاص به على جهاز الكمبيوتر.
إذا كنت تتساءل عن ثاني أكبر رقم ، وهو 14 في هذه الحالة ، فقم بتحديد قدرة المهاجم على تنفيذ تعليمات برمجية عشوائية على جهاز كمبيوتر الضحية.
من المهم معرفة أن جميع الثغرات الخطيرة باستثناء واحدة تقع ضمن فئة تنفيذ التعليمات البرمجية عن بُعد.
يتضمن هذا الخطأ -40444 ، والذي أطلق عليه اسم ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لـ Microsoft MSHTML.
الثغرة الحرجة غير RCE هي خطأ في الكشف عن المعلومات يؤثر أزور سفير (CVE-2021-36956) ، وهو نظام أساسي أنشأته Microsoft ، ويهدف إلى إضافة طبقة أمان إلى أجهزة إنترنت الأشياء (IoT).
تم أيضًا إصلاح بعض الأخطاء السيئة التي تؤثر على متصفح Edge على نظامي Android و iOS بواسطة عملاق التكنولوجيا.
سيتعين على مستخدمي هذا المستعرض على هذه الأجهزة ، بالضرورة ، الحصول على إصداراتهم الثابتة من متجر التطبيقات ذي الصلة بأجهزتهم ، وكلاهما عرضة لثغرة أمنية تصفه Microsoft انتحال.
تنطبق نقاط الضعف الحرجة التي تؤثر على Windows نفسه (CVE-2021-36965 و CVE-2021-26435) على مكون يسمى خدمة WLAN AutoConfig Service.
إذا لم تكن تعرف ، فهذا جزء من الآلية التي يستخدمها Windows 10 لاختيار الشبكة اللاسلكية التي سيتصل بها الكمبيوتر ، ومحرك Windows Scripting Engine ، على التوالي.
لم تقدم Microsoft أي معلومات إضافية قبل الموعد النهائي لإصدار Patch Tuesday حول الآلية التي من خلالها تنفذ هذه الأخطاء التعليمات البرمجية على النظام.
يعالج مطورو Redmond خطأ Office الضخم هذا الشهر
بعد اكتشاف هذا الخطأ وأصبح معروفاً للجمهور في 7 سبتمبر ، بدأ الباحثون والمحللون الأمنيون بتبادل أمثلة إثبات المفهوم لكيفية استفادة المهاجم من الاستغلال.
لسوء الحظ ، فإن الأهمية الكبيرة لهذا الخطأ تعني أن المهاجمين قد لاحظوا ومن المرجح أن يبدأوا في استغلال الثغرة الأمنية.
يتضمن هذا الخطأ الشرير مكون MSHTML الخاص بـ Microsoft Office ، والذي يمكنه عرض صفحات المتصفح في سياق مستند Office.
في استغلال الخطأ ، يقوم المهاجم بإنشاء عنصر تحكم ActiveX ضار ومن ثم يدمج التعليمات البرمجية في مستند Office الذي يستدعي عنصر تحكم ActiveX عند فتح المستند أو معاينة.
مراحل الهجوم بشكل عام هي:
- يتلقى الهدف مستند Office .docx أو .rtf ويفتحه
- يسحب المستند HTML البعيد من عنوان ويب ضار
- يسلم موقع الويب الخبيث أرشيف .CAB إلى جهاز الكمبيوتر الهدف
- يقوم الاستغلال بإطلاق ملف تنفيذي من داخل .CAB (يُسمى عادةً بامتداد INF)
تستخدم البرمجة النصية الخبيثة المعالج المدمج لـ .cpl الملفات (لوحة تحكم Windows) لتشغيل الملف بملحق .inf (وهو في الواقع ملف dll ضار) المستخرج من ملف .cab.
لم يقم الكثير من الأشخاص بصياغة مآثر وظيفية لإثبات المفهوم (PoC) فحسب ، بل قام القليل منهم بإنشاء ونشر أدوات البناء التي يمكن لأي شخص استخدامها لتسليح مستند Office.
النسخة الأصلية من الاستغلال تستخدم Microsoft Word.docx من المستندات ، لكننا اكتشفنا بالفعل بعض الإصدارات التي تستخدم.rtf ملحقات الملفات.
يستخدم المهاجمون التقنيات ليس فقط لتشغيل ملفات exe. ولكن أيضًا ملفات .dll الضارة ، باستخدام rundll32. لا يوجد سبب للاعتقاد بأن الاستغلال لن يوسع نطاقه ليشمل أنواع مستندات Office الأخرى أيضًا.
من الجيد أن نعرف أن مسؤولي ريدموند يبذلون قصارى جهدهم للحفاظ على سلامتنا ، ولكن هذا كله يتعلق بجهد مشترك ، لذلك علينا أيضًا أن نقوم بأدوارنا.
ما رأيك في تحديثات Patch Tuesday لهذا الشهر؟ شاركنا برأيك في قسم التعليقات أدناه.
