تقول شركة مايكروسوفت إنها عطلت بعض التحديثات الخاصة بنظام التشغيل Windows 10 – حيث تعمل على إصلاح العيوب التي تتعرض للهجوم

تصحيح الثلاثاء كما هو الحال دائمًا، بدأ يوم الثلاثاء الجديد يحمل أخبارًا غير سارة حول وجود نقاط ضعف أمنية ملحة وأخطاء يجب معالجتها.

مايكروسوفت”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/releaseNote/2024-Sep”>تم إصدار إصلاحات لأكثر من 70 عيبًا تؤثر على مكونات مختلفة من منتجاتها بما في ذلك Windows وOffice وآلية Mark of the Web وAzure وDynamics Business Central وSQL Server وHyper-V وخدمة ترخيص سطح المكتب البعيد.

هناك ثلاثة أنواع من الحيوانات يتم استغلالها بالفعل في البرية. وفيما يلي ترتيبها تنازليًا من حيث الخطورة:

• CVE-2024-38014 – مشكلة خطيرة في CVSS بمستوى 7.8 من 10 تسمح بتصعيد الامتيازات في Windows Installer مما قد يمنح امتيازات SYSTEM كاملة. تم اكتشافها بواسطة SEC Consult Vulnerability Lab.
• CVE-2024-38226 – ثغرة أمان CVSS 7.4 في Publisher 2016، بالإضافة إلى Office 2019 و2021. يتطلب هذا من الضحية فتح ملف مسموم، ولكن بمجرد القيام بذلك، يمكن للمهاجم تجاوز دفاعات الماكرو في Office.
• CVE-2024-38217 – مشكلة في CVSS 5.4 تسمح لمجرم بتجاوز محرك تحديد برامج Mark of the Web من Microsoft. هناك خلل ثانٍ في Mark of the Web تمت معالجته هذا الشهر -“_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43487″>CVE-2024-43487 – والتي تدرجها شركة Microsoft على أنها من المحتمل أن يتم استغلالها ومثيرة للقلق بشكل معتدل.

ثم هناك”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491″>CVE-2024-43491، حادث سيارة يؤثر فقط على إصدار Windows 10 1507 الذي تم إصداره لأول مرة في يوليو 2015. وبينما خرج هذا الإصدار من الدعم في عام 2017 لإصداراته Pro وHome وEnterprise وEducation وEnterprise IoT، فإن Windows 10 Enterprise 2015 LTSB وWindows 10 IoT Enterprise 2015 لا يزالان قيد الدعم؛ وكلها متأثرة.

تم تصنيف هذا الخطأ بمعدل 9.8 من 10 في خطورة CVSS، وذلك بناءً على ما يمكننا قوله، حيث يتسبب في قيام نظام التشغيل بالتراجع بصمت عن التحديثات وتصحيحات الأمان المطبقة مسبقًا لبعض المكونات الاختيارية، مما يجعلها عرضة للهجوم والمشكلات الأخرى.

قيل لنا إن السبب في ذلك يرجع إلى خطأ في البرمجة ناتج عن تطبيق تحديثات الأمان التي تم إصدارها بين مارس وأغسطس 2024 بشكل شامل.

يبدو أنه إذا قمت بتثبيت تحديث أمان تم إصداره بين هذين الشهرين على إصدار Windows 10 1507، ثم قمت بتطبيق التحديثات أو تصحيحات الأمان التي تم إصدارها منذ 12 مارس، فإن نظام التشغيل يصاب بارتباك شديد ويعيد البرنامج المحدث إلى إصداره الأساسي RTM – إصدار التصنيع -، مما يترك الكود دون تصحيح ويعرض الكمبيوتر لخطر الهجوم. وفقًا لمايكروسوفت، يمكن أن يحدث هذا التراجع للمكونات الاختيارية التالية:

• خدمات متقدمة في .NET Framework 4.6 ASP.NET 4.6
• خدمات الدليل الخفيف لـ Active Directory
• أدوات إدارية
• إنترنت إكسبلورر 11
• خدمات معلومات الإنترنتخدمات الويب العالمية
• خدمة طباعة LPD
• خادم Microsoft Message Queue (MSMQ) Core
• دعم MSMQ HTTP
• موصل متعدد النقاط
• دعم مشاركة الملفات SMB 1.0/CIFS
• الفاكس والمسح الضوئي لنظام Windows
• مشغل الوسائط ويندوز
• مجلدات العمل للعميل
• عارض XPS

تتعامل Microsoft مع هذه المشكلة باعتبارها خطأً مستغلاً في البرية، حيث أصدرت في السابق تصحيحات للأخطاء المستغلة بنشاط لتلك المكونات، وكان من الممكن إزالة هذه التصحيحات بواسطة الخطأ.

“Starting with the Windows security update released March 12, 2024 – KB5035858 (OS Build 10240.20526), the build version numbers crossed into a range that triggered a code defect in the Windows 10 (version 1507) servicing stack that handles the applicability of optional components,” كما قالت مايكروسوفت بوضوح.

“As a result, any optional component that was serviced with updates released since March 12, 2024 (KB5035858) was detected as ‘not applicable’ by the servicing stack and was reverted to its RTM version.”

فهل يعني هذا أنه إذا قمت بتطبيق تحديث مارس 2024، على سبيل المثال، فإن نظام التشغيل قد ألغى بالفعل الإصلاحات التي تم تطبيقها مسبقًا؟ نعم: “If you have installed any of the previous security updates released between March and August 2024, the rollbacks of the fixes for CVEs affecting [the] optional components have already occurred. To restore these fixes customers need to install the September 2024 Servicing Stack Update and Security Update for Windows 10.”

في الواقع، تقول شركة Microsoft أنه يجب على الأشخاص تثبيت تحديث مجموعة الخدمة KB5043936 وتحديث الأمان KB5043083، الذي تم إصداره هذا التصحيح يوم الثلاثاء، بهذا الترتيب “to be fully protected from the vulnerabilities that this CVE rolled back.” سيحصل المستخدمون الذين يقومون بتطبيق التحديثات تلقائيًا على هذه الميزة بالفعل.

هناك المزيد من التفاصيل”_blank” rel=”nofollow” هريف=”https://support.microsoft.com/en-us/topic/september-10-2024-kb5043083-os-build-10240-20766-5a6c8182-b565-4b11-b127-97893b866ba1″>هنا، والذي يحذر من أن هذا قد يؤدي إلى تعطل أنظمة التمهيد المزدوجة التي تعمل بنظامي التشغيل Windows وLinux، ويُطلب منك التحقق من الحل البديل لذلك.

المضي قدما…

وفيما يلي الأخطاء الأخرى التي عالجتها مايكروسوفت هذا الأسبوع.

يحتوي Azure على الكثير من أسوأ الأخطاء، بما في ذلك ثلاثة عيوب تتعلق برفع الامتيازات (“_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38216″>CVE-2024-38216,”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38220″>CVE-2024-38220، و”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38194″>CVE-2024-38194، كلها مهمة) في Stack Hub المستخدم لتشغيل منصة Microsoft المحلية وتطبيقات Azure Web Apps.

يحتوي وكيل VM الخاص بـ Azure’s Network Watcher على زوج من أخطاء التصعيد المتشابهة (“_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38188″>CVE-2024-38188 و”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43470″>CVE-2024-43470، وكلاهما مهم) ومشكلة في الكود عن بعد (“_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43469″>CVE-2024-43469(وهو أمر مهم أيضًا) في منسق CycleCloud HPC الخاص بالمنصة.

يحتوي SharePoint Server على عيبين خطيرين،”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38018″>CVE-2024-38018 و”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43464″ rel=”nofollow”>CVE-2024-43464، مما يسمح للمهاجمين الذين لديهم أذونات عضو الموقع ومالك الموقع بتنفيذ التعليمات البرمجية عن بُعد. هناك 30 عيبًا في رفع الامتيازات للاختيار من بينها في تحديث هذا الشهر والتي يمكن ربطها بهذين العيبين وتسرد Microsoft كلا العيبين الحرجتين على أنهما “Exploitation more likely.”

• أصلحت شركة مايكروسوفت ثغرة أمنية مخيفة يمكن أن تخترق جهاز My Box عبر IPv6 وغير ذلك
• لإصلاح هذا الخادم، نحتاج إلى أن نجعل شخصًا ما مخمورًا
• تشير عيوب أداة الترخيص الذكي من Cisco إلى أنها غبية جدًا فيما يتعلق بالأمن
• تم إصدار كود إثبات المفهوم لثغرة IPv6 Windows الحرجة التي لا تتطلب النقر عليها

عيب خطير آخر،”_blank” rel=”nofollow” هريف=”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38119″>CVE-2024-38119، ينبع من خطأ في تنفيذ التعليمات البرمجية عن بعد باستخدام بعد التحرير في قاعدة التعليمات البرمجية لترجمة عناوين الشبكة (NAT) في نظام التشغيل Windows. يجب أن يكون المهاجم موجودًا بالفعل داخل الشبكة لإساءة استخدام هذا، وتدرجه Microsoft على أنه من الصعب استخدامه وأقل عرضة للاستغلال.

يجب على مستخدمي Windows 11 الإصدار 21H2 أو 22H2 أن يتذكروا أيضًا أن التصحيح التالي يوم الثلاثاء 8 أكتوبر سيشهد دعم أنظمة التشغيل الخاصة بهم”_blank” rel=”nofollow” هريف=”https://learn.microsoft.com/en-us/windows/release-health/windows11-release-information”>نهاية للإصدارات Home وPro وPro Education وPro for Workstations. إذا كنت تستخدم التحديثات التلقائية، فسوف يُطلب منك الترقية في الشهر التالي.

تصحيحات Adobe ذات الأولوية المنخفضة

لا يقتصر يوم الثلاثاء التصحيحي على مايكروسوفت فقط: فقد كشفت شركة Adobe عن 19 مشكلة حرجة، و13 مشكلة مهمة، وثلاث مشكلات مصنفة على أنها متوسطة الخطورة. إن ColdFusion 2021 و2023 معرضان لمشكلة CVSS 9.8 بسبب استخدام تسلسل البيانات غير الموثوقة التي تسمح بالوصول العشوائي إلى التعليمات البرمجية.

كما قامت Adobe أيضًا بإصدار تصحيحات لإصدارات Windows وmacOS من”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/photoshop/apsb24-72.html”>فوتوشوب,”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/acrobat/apsb24-70.html”>Acrobat و Reader,”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/illustrator/apsb24-66.html”>رسام توضيحي,”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/after_effects/apsb24-55.html”>التأثيرات اللاحقة,”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/premiere_pro/apsb24-58.html”>بريميير برو,”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/coldfusion/apsb24-71.html”>كولد فيوجن,”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/media-encoder/apsb24-53.html”>مُشفِّر الوسائط، و”_blank” rel=”nofollow” هريف=”https://helpx.adobe.com/security/products/audition/apsb24-54.html”>الاختبار.

صنفت شركة Adobe جميع هذه الثغرات ضمن فئة الأولوية 3، وهو أدنى تصنيف لها، وأفادت التقارير بعدم وجود أي ثغرات أمنية في البرية.

تقترح شركة Intel إيقاف تشغيل وحدة التحكم RAID Web Console

بعد إصدار 43 استشارة أمنية”_blank” هريف=”https://www.theregister.com/2024/08/14/august_patch_tuesday_ipv6/”>في أغسطس سلمت شركة إنتل أربعة مشكلات فقط هذا الشهر – واحدة منها فقط ذات خطورة عالية.

ولكن واحد من هؤلاء”_blank” rel=”nofollow” هريف=”https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01071.html”>النصائح يعالج 11 CVEs تتعلق بـ “ثغرات أمنية محتملة في برامج UEFI الثابتة [that] قد يسمح بتصعيد الامتياز أو رفض الخدمة أو الكشف عن المعلومات.

تغطي CVES قائمة واسعة جدًا من شرائح الأجهزة المحمولة وأجهزة الكمبيوتر والخوادم القديمة، بما في ذلك معالجات Atom والجيل الثالث عشر والمعالجات Core الأقدم، وXeon E5 v3 والمنصات الأقدم.

التصحيح هو”_blank” هريف=”https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01097.html”>خارج أيضا بالنسبة لـ CVE-2024-24968، والذي من شأنه أن يسمح بهجمات رفض الخدمة ضد الجيل الثالث عشر من معالجات Intel Core (والإصدارات الأقدم) في الأجهزة المحمولة وأجهزة سطح المكتب والأجهزة المدمجة. كما أن شرائح خادم Xeon D وأنظمة الجيل الثالث القابلة للتطوير معرضة للخطر أيضًا.

إنتل”_blank” rel=”nofollow” هريف=”https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01103.html”>حد متوسط ​​القدرة التشغيلية حذرت شركة تصنيع الرقائق من أن الواجهة معرضة لخطر CVE-2024-23984، وهو ما يسمح بالكشف عن المعلومات، وإن كان ذلك فقط للمستخدمين المميزين. تؤثر المشكلة على الجيل الثالث من معالجات Xeon D والرقائق والخوادم القابلة للتطوير ومحطات العمل والأنظمة المضمنة.

هناك أيضًا تحذير بأن جميع برامج RAID Web Console”_blank” rel=”nofollow” هريف=”https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00926.html”> هو عرضة للخطر إلى تسعة CVEs لكن Intel لن تصدر إصلاحات منذ أن تم إطلاق المنتج”_blank” rel=”nofollow” هريف=”https://www.intel.com/content/www/us/en/support/articles/000098160/server-products.html”>نهاية الحياة في شهر مارس. يُنصح العملاء بالتوقف عن استخدام البرنامج وحذفه من أنظمتهم.

إصلاحات SAP، ثم إصلاحات أخرى

أصدرت شركة SAP 19 مذكرة أمنية تتضمن 16 تصحيحًا جديدًا وثلاثة تحديثات لإصلاحات قديمة.

تتمتع جميع تصحيحات الأمان الجديدة بخطورة متوسطة أو أقل مع درجات CVSS تبلغ ستة أو أقل.

أعطت شركة SAP الأولوية القصوى لإصلاح المشكلات السابقة. ويأتي على رأس قائمتها”_blank” rel=”nofollow” هريف=”https://nvd.nist.gov/vuln/detail/CVE-2024-41730″>CVE-2024-41730، في منصة BusinessObjects Business Intelligence التي حصلت على درجة CVSS 9.8، وهي الأعلى تصنيفًا من قبل SAP، و”_blank” هريف=”https://theregister.com/2024/08/14/august_patch_tuesday_ipv6/”>تم إصداره الشهر الماضي. يمتد الكود الجديد ليشمل الإصدار 420 من مكون برامج Enterprise ويتضمن تفاصيل لحل مؤقت لأولئك الذين لا يستطيعون التصحيح بعد.

تغطي الملاحظة ذات الأولوية العالية الوحيدة لشركة SAP”_blank” rel=”nofollow” هريف=”https://nvd.nist.gov/vuln/detail/CVE-2024-33003″>CVE-2024-33003، ثغرة الكشف عن المعلومات في منصة Commerce Cloud ذات مستوى CVSS 7.4 والتي تم إصدارها أيضًا في أغسطس. يمتد نطاق تغطية الثغرات الأمنية الأحدث إلى الإصدار 2211.28 من المنصة.

CISA تحذر المسؤولين من ضرورة التحقق من مشكلتين في Citrix

سيتريكس”_blank” rel=”nofollow” هريف=”https://support.citrix.com/s/article/CTX691485-citrix-workspace-app-for-windows-security-bulletin-cve20247889-and-cve20247890?language=en_US”>أصدر إصلاحات عالية الخطورة لخللين في تطبيق Workspace لنظام التشغيل Windows، مما يؤثر على الإصدار الحالي قبل الإصدار 2405 والإصدارات طويلة الأمد قبل 2402 LTSR CU1.

CVE-2024-7889 هو خلل في رفع الامتيازات، مصنف على أنه CVSS 7.0، والذي من شأنه أن يسمح للمستخدم المحلي بترقية نفسه إلى حالة SYSTEM بسبب التعامل غير السليم مع الموارد بواسطة الكود. CVE-2024-7890، مصنف على أنه CVSS 5.4، يقوم بحل مشكلة إدارة الامتيازات غير السليمة والتي قد تؤدي أيضًا إلى حصول المهاجم على وصول SYSTEM. تتطلب كلتا المشكلتين الوصول المحلي إلى جهاز مستهدف.

“A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system,” وكالة الامن الامريكية”_blank” rel=”nofollow” هريف=”https://www.cisa.gov/news-events/alerts/2024/09/10/citrix-releases-security-updates-citrix-workspace-app-windows”>حذر. “CISA encourages users and administrators to review the following and apply necessary update.”

إزعاجات إيفانتي مرة أخرى

CISA هي”_blank” rel=”nofollow” هريف=”https://www.cisa.gov/news-events/alerts/2024/09/10/ivanti-releases-security-updates-endpoint-manager-cloud-service-application-and-workspace-control”>تحذير أيضا حول مشاكل خطيرة في Ivanti Endpoint Manager 2022 و2024، وCloud Service Application 4.6، وWorkspace Control 10.18.0.0 والإصدارات الأقدم، بعد أشهر من إعلانها عن مغادرة قطاع البرمجيات للولايات المتحدة”_blank” هريف=”https://www.theregister.com/2024/06/25/cisa_ivanti_chemical_facilities/”>المرافق الكيميائية معرضة للخطر مع إخفاقات أمنية سابقة.

تعتبر مشاكل Endpoint Manager هي الأكثر خطورة، مع”_blank” rel=”nofollow” هريف=”https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022?language=en_US&_gl=1*6frqvp*_gcl_au*MTIzMDUyNTU2My4xNzE4ODgyNzE0″>16 CVEs تم تسميتها يشمل تم الإبلاغ عن مشكلة CVSS 10.0 التي تسمح بتنفيذ التعليمات البرمجية عن بُعد بالكامل على EPM قبل 2022 SU6، أو تحديث سبتمبر 2024، بسبب سوء تعامل بوابة الوكالة مع البيانات غير الموثوقة. كما تم الإبلاغ عن تسع مشكلات أخرى بالغة الأهمية في CVSS 9.1، بالإضافة إلى مشكلتين ذات أولوية عالية (بما في ذلك مشكلة RCE) وعيب متوسط.

هناك”_blank” rel=”nofollow” هريف=”https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Service-Appliance-CSA-CVE-2024-8190?language=en_US&_gl=1*6frqvp*_gcl_au*MTIzMDUyNTU2My4xNzE4ODgyNzE0″>أ CVE لجميع إصدارات Ivanti’s Cloud Service Application 4.6 قبل التصحيح 519، مما يسمح للمهاجم عن بعد بتشغيل التعليمات البرمجية – ولكن فقط إذا كان لديه امتيازات المسؤول. يحتوي Workspace Control على”_blank” rel=”nofollow” هريف=”https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Workspace-Control-IWC?language=en_US”>ستة ثغرات أمنية خطيرة للغاية، وكل ذلك من شأنه أن يسمح للمستخدمين المعتمدين محليًا بترقية امتيازات الشبكة الخاصة بهم.