الخبراء يكشفون ثغرة خطيرة في Windows قابلة للاستغلال عن بُعد
العيب ، تتبع CVE-2021-1678 (CVSS Score 4.3) ، تم وصفه بأنه خطأ "قابل للاستغلال عن بعد" الموجود في مكون ضعيف مرتبط بمجموعة الشبكة ، على الرغم من أن التفاصيل الدقيقة للقضية ظلت غير معروفة.
متابعات-ميكسي نيوز
ثغرة خطيرة في Windows…ظهرت مزيد من التفاصيل حول تعرض ميزة الأمان الالتفافية في Windows NT LAN Manager (NTLM) تم تناولها من قبل Microsoft كجزء من تحديثاتها الشهرية يوم الثلاثاء في وقت سابق من هذا الشهر.
العيب ، تتبع CVE-2021-1678 (CVSS Score 4.3) ، تم وصفه بأنه خطأ “قابل للاستغلال عن بعد” الموجود في مكون ضعيف مرتبط بمجموعة الشبكة ، على الرغم من أن التفاصيل الدقيقة للقضية ظلت غير معروفة.
الآن وفقًا للباحثين من CroldStrike ، فإن حشرة الأمن ، إذا تركت غير مسببة ، يمكن أن تسمح لممثل سيء بتحقيق تنفيذ رمز عن بعد عبر ترحيل NTLM.
“يتيح هذا الضعف للمهاجم نقل جلسات المصادقة NTLM إلى آلة تم هجومها ، واستخدام التخزين المؤقت للطابعة MSRPC واجهة لتنفيذ الكود عن بُعد على الجهاز الهجوم “، الباحثون قال في يوم الجمعة.
هجمات ترحيل NTLM هي نوع من هجمات Man-in-Middle (MITM) التي عادة ما تسمح للمهاجمين بالوصول إلى شبكة لاعتراض حركة مرور المصادقة الشرعية بين العميل والخادم ونقل طلبات المصادقة التي تم التحقق من صحتها من أجل الوصول إلى خدمات الشبكة.
يمكن أن تسمح عمليات الإملاءات الناجحة أيضًا للخصم بتشغيل رمز عن بُعد على جهاز Windows أو الانتقال بشكل جانبي على الشبكة إلى أنظمة مهمة مثل خوادم تستضيف وحدات التحكم في مجال المجال عن طريق إعادة استخدام بيانات اعتماد NTLM الموجهة إلى الخادم المستعرض.
في حين أن مثل هذه الهجمات يمكن أن تكون أحبط بواسطة SMB و LDAP توقيع وتحويل الحماية المعززة للمصادقة (EPA) ، يستغل CVE-2021-1678 ضعفًا في MSRPC (مكالمة الإجراءات عن بُعد Microsoft) التي تجعلها عرضة لهجوم التتابع.
على وجه التحديد ، وجد الباحثون أن iRemotewinspool – واجهة RPC لإدارة التخزين المؤقت للطابعة عن بُعد – يمكن الاستفادة منها لتنفيذ سلسلة من عمليات RPC وكتابة ملفات تعسفية على جهاز مستهدف باستخدام جلسة NTLM المعتقة.
Microsoft ، في أ وثيقة الدعموقالت إنها عالجت الضعف من خلال “زيادة مستوى مصادقة RPC وإدخال مفتاح سياسة وتسجيل جديد للسماح للعملاء بتعطيل أو تمكين وضع الإنفاذ على جانب الخادم لزيادة مستوى المصادقة.”
بالإضافة إلى تثبيت تحديث Windows في 12 يناير ، حثت الشركة المؤسسات على تشغيل وضع الإنفاذ على خادم الطباعة ، وهو الإعداد الذي تقول إنه سيتم تمكينه على جميع أجهزة Windows افتراضيًا في 8 يونيو 2021.
