يتم استغلال ثغرة أمنية في نظام التشغيل Windows 11 ، وهي جزء من مجموعة الإصلاحات التي أجرتها Microsoft Patch Tuesday ، في البرية ، مما دفع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى تقديم المشورة بشأن تصحيح عيوب ارتفاع الامتيازات بحلول 2 أغسطس.
التوصية موجهة إلى الوكالات الفيدرالية وتتعلق ب CVE-2022-22047 ، وهي ثغرة أمنية تحمل درجة CVSS عالية (7.8) وتعرض النظام الفرعي لوقت تشغيل Windows Client Server (CSRSS) المستخدم في Windows 11 (والإصدارات السابقة التي يعود تاريخها إلى 7) وكذلك Windows Server 2022 (والإصدارات السابقة 2008 و 2012 و 2016 و 2019) للهجوم.
[حدث مجاني عند الطلب: انضم إلى Zane Bond من Keeper Security في مائدة مستديرة حول Threatpost وتعلم كيفية الوصول بأمان إلى أجهزتك من أي مكان ومشاركة المستندات الحساسة من مكتبك المنزلي. شاهد هنا.]
خطأ CSRSS هو ارتفاع في ثغرة الامتيازات التي تسمح للخصوم الذين لديهم موطئ قدم محدد مسبقا على نظام مستهدف بتنفيذ التعليمات البرمجية كمستخدم غير مميز. عندما تم الإبلاغ عن الخطأ لأول مرة من قبل فريق الأمان الخاص بشركة Microsoft في وقت سابق من هذا الشهر ، تم تصنيفه على أنه يوم صفر ، أو خطأ معروف بدون تصحيح. تم توفير هذا التصحيح يوم الثلاثاء 5 يوليو.
وقال باحثون في FortiGuard Labs ، وهو قسم من Fortinet ، إن التهديد الذي يشكله الخطأ على الأعمال التجارية "متوسط". في نشرة ، يشرح الباحثون التصنيف المخفض لأن الخصم يحتاج إلى وصول "محلي" أو مادي متقدم إلى النظام المستهدف لاستغلال الخطأ ويتوفر تصحيح.
ومع ذلك ، يمكن للمهاجم الذي حصل سابقا على إمكانية الوصول عن بعد إلى نظام الكمبيوتر (عبر الإصابة بالبرامج الضارة) استغلال الثغرة الأمنية عن بعد.
"على الرغم من عدم وجود مزيد من المعلومات حول الاستغلال التي أصدرتها Microsoft ، إلا أنه يمكن الافتراض أن تنفيذ التعليمات البرمجية عن بعد غير المعروف سمح للمهاجم بإجراء حركة جانبية وتصعيد الامتيازات على الأجهزة المعرضة ل CVE-2022-22047 ، مما يسمح في النهاية بامتيازات SYSTEM" ، كتب FortiGuard Labs.
نقاط دخول مستندات Office وAdobe
في حين يتم استغلال الثغرة الأمنية بنشاط ، لا يوجد دليل عام معروف على استغلال المفهوم في البرية التي يمكن استخدامها للمساعدة في تخفيف أو في بعض الأحيان تأجيج الهجمات ، وفقا لتقرير صادر عن The Record.
"تسمح الثغرة الأمنية للمهاجم بتنفيذ التعليمات البرمجية كنظام ، شريطة أن يتمكن من تنفيذ تعليمات برمجية أخرى على الهدف" ، كتبت مبادرة Zero Day (ZDI) من Trend Micro في تقريرها عن Patch Tuesday الأسبوع الماضي.
"عادة ما يتم إقران الأخطاء من هذا النوع بخطأ تنفيذ التعليمات البرمجية ، وعادة ما يكون مستند Office أو Adobe معدا خصيصا ، لتولي النظام. غالبا ما تعتمد هذه الهجمات على وحدات الماكرو ، وهذا هو السبب في أن الكثيرين شعروا بالإحباط لسماع تأخير Microsoft في حظر جميع وحدات ماكرو Office بشكل افتراضي ، "كتب مؤلف ZDI Dustin Childs.
وقالت مايكروسوفت مؤخرا إنها ستمنع استخدام وحدات ماكرو Visual Basic for Applications (VBA) بشكل افتراضي في بعض تطبيقات Office الخاصة بها ، ولكن لا يوجد مخطط زمني لفرض السياسة.
أضافت CISA خطأ Microsoft إلى قائمة التشغيل الخاصة بها من الثغرات الأمنية المستغلة المعروفة في 7 يوليو (ابحث عن "CVE-2022-22047" للعثور على الإدخال) وتوصي ببساطة ، "تطبيق التحديثات لكل تعليمات المورد".
[حدث مجاني عند الطلب: انضم إلى Zane Bond من Keeper Security في مائدة مستديرة حول Threatpost وتعلم كيفية الوصول بأمان إلى أجهزتك من أي مكان ومشاركة المستندات الحساسة من مكتبك المنزلي. شاهد هنا.]
الصورة: بإذن من مايكروسوفت