اكتشف الباحثون مؤخرًا ثغرة أمنية في تنفيذ التعليمات البرمجية على نظام Windows والتي لديها القدرة على منافسة EternalBlue ، وهو اسم ثغرة أمنية مختلفة في Windows تستخدم لتفجير WannaCry ، برنامج الفدية الذي أغلق شبكات الكمبيوتر في جميع أنحاء العالم في عام 2017.
مثل EternalBlue ، CVE-2022-37958 ، حيث يتم تعقب أحدث ثغرة أمنية ، يسمح للمهاجمين بتنفيذ تعليمات برمجية ضارة دون الحاجة إلى مصادقة. أيضًا ، مثل EternalBlue ، إنه قابل للديدان ، مما يعني أن استغلالًا واحدًا يمكن أن يؤدي إلى تفاعل متسلسل من عمليات الاستغلال المتتابعة ذاتية التكرار على الأنظمة الضعيفة الأخرى. سمحت قابلية الديدان لـ EternalBlue WannaCry والعديد من الهجمات الأخرى بالانتشار في جميع أنحاء العالم في غضون دقائق دون الحاجة إلى تفاعل المستخدم.
ولكن على عكس EternalBlue ، الذي يمكن استغلاله عند استخدام SMB فقط ، أو كتلة رسالة الخادم ، وهو بروتوكول لمشاركة الملفات والطابعات وأنشطة الشبكة المماثلة ، فإن هذه الثغرة الأمنية الأخيرة موجودة في نطاق أوسع بكثير من بروتوكولات الشبكة ، مما يمنح المهاجمين مرونة أكثر من لديهم عند استغلال الثغرة القديمة.
قالت فالنتينا بالميوتي ، الباحثة الأمنية في شركة IBM التي اكتشفت الثغرة الأمنية في تنفيذ التعليمات البرمجية ، في مقابلة: “يمكن للمهاجم أن يطلق الثغرة الأمنية عبر أي بروتوكولات تطبيقات Windows تقوم بالمصادقة”. على سبيل المثال ، يمكن تشغيل الثغرة الأمنية من خلال محاولة الاتصال بمشاركة SMB أو عبر سطح المكتب البعيد. تتضمن بعض الأمثلة الأخرى خوادم Microsoft IIS المكشوفة للإنترنت وخوادم SMTP التي تم تمكين مصادقة Windows عليها. بالطبع ، يمكن أيضًا استغلالها على الشبكات الداخلية إذا تركت دون إصلاح “.
قامت Microsoft بإصلاح CVE-2022-37958 في سبتمبر أثناء طرح التصحيح الشهري يوم الثلاثاء لإصلاحات الأمان. لكن في ذلك الوقت ، اعتقد باحثو Microsoft أن الثغرة الأمنية تسمح فقط بالكشف عن المعلومات التي يُحتمل أن تكون حساسة. على هذا النحو ، أعطت Microsoft الثغرة الأمنية تصنيفًا “مهم”. في الدورة الروتينية لتحليل الثغرات الأمنية بعد تصحيحها ، اكتشف بالميوتي أنه يسمح بتنفيذ التعليمات البرمجية عن بُعد بالطريقة التي فعلها EternalBlue. في الأسبوع الماضي ، قامت Microsoft بمراجعة التصميم إلى درجة حرجة ومنحته تصنيفًا شديدًا قدره 8.1 ، وهو نفس التصنيف الذي حصل عليه EternalBlue.
CVE-2022-37958 موجود في SPNEGO Extended Negotiation ، وهي آلية أمان مختصرة باسم NEGOEX تسمح للعميل والخادم بالتفاوض على وسائل المصادقة. عندما يتصل جهازان باستخدام سطح المكتب البعيد ، على سبيل المثال ، يسمح SPNEGO لهما بالتفاوض بشأن استخدام بروتوكولات المصادقة مثل NTLM أو Kerberos.
يسمح CVE-2022-37958 للمهاجمين بتنفيذ التعليمات البرمجية الضارة عن بُعد من خلال الوصول إلى بروتوكول NEGOEX أثناء استخدام الهدف لبروتوكول تطبيق Windows الذي يقوم بالمصادقة. إلى جانب SMB و RDP ، يمكن أن تتضمن قائمة البروتوكولات المتأثرة أيضًا بروتوكول نقل الرسائل البسيط (SMTP) وبروتوكول نقل النص التشعبي (HTTP) إذا تم تمكين تفاوض SPNEGO.
أحد العوامل المخففة المحتملة هو أن التصحيح الخاص بـ CVE-2022-37958 كان متاحًا لمدة ثلاثة أشهر. على النقيض من ذلك ، تم استغلال اللون الأزرق الخالص في البداية من قبل وكالة الأمن القومي باعتباره يومًا صفرًا. ثم تم إطلاق استغلال وكالة الأمن القومي المليء بالأسلحة في البرية من قبل مجموعة غامضة تطلق على نفسها اسم Shadow Brokers. التسريب ، وهو أحد أسوأ التسريبات في تاريخ وكالة الأمن القومي ، أتاح للقراصنة في جميع أنحاء العالم الوصول إلى استغلال قوي على مستوى الدولة القومية.
قال بالميوتي إن هناك سببًا للتفاؤل ولكن أيضًا للمخاطرة: “بينما كان EternalBlue صفر يوم ، لحسن الحظ هذا يوم N مع مهلة تصحيح لمدة 3 أشهر” ، قال بالميوتي. “كما رأينا مع نقاط الضعف الرئيسية الأخرى على مر السنين ، مثل MS17-010 الذي تم استغلاله مع EternalBlue ، كانت بعض المؤسسات بطيئة في نشر التصحيحات لعدة أشهر أو تفتقر إلى جرد دقيق للأنظمة المعرضة للإنترنت وفقدان أنظمة التصحيح . كليا.”
