نقاط ضعف حرجة في مايكروسوفت

١٤ يناير ٢٠٢٠: أصدرت مايكروسوفت اليوم تصحيحاتها الشهرية، ومن بينها ثلاث مشاكل حرجة من الدرجة الأولى تتطلب اهتمامكم الفوري. ينبغي على الشركات الاستعانة بعملية إدارة تنبيهات الثغرات الأمنية لفرز هذه التنبيهات، والتخطيط الفوري لإصدار التصحيحات في أسرع وقت ممكن. يُرجى اعتبار هذا التحذير الخاص من مدونة CyberHoot ظرفًا غير اعتيادي واتخاذ الإجراءات المناسبة في أسرع وقت ممكن. ولتوضيح ذلك، تشير جميع مصادري في مجال الأمن السيبراني إلى الأمر نفسه. أصدرت هيئات حكومية معنية بمراقبة الأمن السيبراني، مثل وكالة الأمن السيبراني والبنية التحتية (CISA)، تحديثها الثاني فقط. التوجيه الطارئ إلى الأبد لهذه الثغرات.  هذا أمر جاد.

الأنظمة المتأثرة:

ثغرة انتحال CryptoAPI – CVE-2020-0601: تؤثر هذه الثغرة الأمنية على جميع الأجهزة التي تعمل بنظام التشغيل Windows 32 ذي 64 بت أو 10 بت، بما في ذلك إصدارات Windows Server 2016 و2019.

ثغرات Windows RD Gateway وWindows Remote Desktop Client – CVE-2020-0609 وCVE-2020-0610 وCVE-2020-0611: تؤثر هذه الثغرات الأمنية على نظام Windows Server 2012 والإصدارات الأحدث. بالإضافة إلى ذلك، يؤثر CVE-2020-0611 على نظام Windows 7 والإصدارات الأحدث. 

تأثير الضعف:

يتناول هذا القسم من الاستشارة التأثير المحتمل في حال استغلال هذه الثغرات الأمنية.

ثغرة انتحال CryptoAPI – CVE-2020-0601:

• تسمح هذه الثغرة الأمنية للبرامج غير المرغوب فيها أو الضارة بالتنكر كبرامج شرعية، موقعة رسميًا من جهة موثوقة. قد يخدع هذا المستخدمين ويدفعهم إلى تثبيت برامج ضارة تبدو شرعية. كما قد يعيق برامج الحماية، مثل برامج مكافحة الفيروسات، من اكتشاف هذه التثبيتات على أنها ضارة. بالإضافة إلى ذلك، ستكون المتصفحات التي تعتمد على واجهة برمجة تطبيقات Windows CryptoAPI غافلة عن الهجمات، مما يسمح للمهاجم بفك تشفير بيانات اتصالات المستخدم أو تعديلها أو حقنها دون اكتشافها.

ثغرات Windows RD Gateway وWindows Remote Desktop Client – CVE-2020-0609 وCVE-2020-0610 وCVE-2020-0611: 

• تسمح هذه الثغرات بتنفيذ أكواد برمجية عن بُعد، حيث يُمكن تشغيل أكواد عشوائية بحرية على كلٍّ من بوابة RD Web Gateway وأي عميل متصل ببوابة ضارة. لا تتطلب ثغرات الخادم مصادقة [وهو أمر سيء حقًا] أو تفاعل المستخدم، ويمكن استغلاله بطلب مُصمم خصيصًا. يمكن استغلال ثغرة العميل بإقناع المستخدم بالاتصال بخادم ضار. عند دمجهما، يمكن الاستيلاء على أي بوابة ويب RD لتصبح خادمًا ضارًا، والذي بدوره يسيطر على جميع أجهزة العميل المتصلة.هل قلت أن هذا كان سيئا حقا؟]

هل هناك أي أخبار جيدة؟

في الواقع نعم.واو!اكتُشفت هذه الثغرات الأمنية وأبلغت عنها، لأول مرة، وكالة الأمن القومي الأمريكية (NSA) مباشرةً إلى مايكروسوفت. هذا يعني أن لدينا فرصة محدودة جدًا لتطبيق هذه التصحيحات دون التعرض لخطر كبير بالاختراق.

ومع ذلك، فإن فترة زمنية صغيرة جدًا من وقت الإنترنت قد تعني أيامًا أو أسابيع. 

لماذا تسأل هذا؟ 

من خلال تحليل التحديثات التي أصدرتها مايكروسوفت اليوم، يستطيع المجرمون تحديد الكود المُعدّل بسرعة. تُشبه هذه التحديثات خريطة كنز يتتبعها المخترقون، عبر تغييرات الكود المصدري، وهندستها عكسيًا، حتى يكتشفوا الثغرة. ثم يستخدمونها كسلاح. it هناك سباقٌ دائرٌ الآن لتحديد هذه الثغرات واستغلالها من قِبل الدول ومجموعات القراصنة. أمامنا أيام، وربما أسابيع، قبل أن تُستغل هذه الثغرات وتبدأ باستغلال أنظمتكم.

ماذا يجب أن أفعل لعملي؟

1. إذا كان لديك عملية إدارة تنبيهات الثغرات الأمنية، فاتبع إرشاداتها لمجموعة من الثغرات الأمنية من الدرجة الأولى.
2. حتى تقوم بتصحيح جميع أنظمتك، قم بمراقبة مدونات أخبار الأمن السيبراني بحثًا عن أي علامات تشير إلى وجود كود استغلال يتسلل إلى البرية.
3. إذا لم يكن لديك برنامج VAMP، فقم بتجميع فريقك الفني ووضع خطة لتصحيح جميع أنظمتك المهمة خلال 10 أيام (أو أسرع إذا أمكن).
4. بالنسبة لأولئك منكم الذين ليس لديهم عملية إدارة تصحيح محددة، بمجرد الانتهاء من تدريب الحريق هذا، يجب عليك سجل في CyberHootقم بتنزيل برنامج VAMP الخاص بنا وقم بتكييفه مع مؤسستك.

ماذا يجب أن أفعل لنفسي شخصياً؟

قد يختلف رقم إصدار Windows الخاص بك، ولكن هذا هو التحديث الذي تريده - انتقل إلى الإعدادات > التحديث والأمان > تحديث ويندوز:

المراجع المقالات:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

مدونة أخبار الأمن السيبراني لبريان كريبس

مدونة Sophos للأمن السيبراني – ثغرات مايكروسوفت الحرجة = قم بإصلاحها الآن

هل تبذل جهدًا كافيًا لحماية عملك؟

سجل في CyberHoot اليوم واستمتع بنوم أفضل مع العلم أن

الموظفين مدربون على الأمن السيبراني وهم على أهبة الاستعداد!

سجل اليوم!