🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

CVE-2023-21752: ثغرة تصعيد الامتيازات على خدمة النسخ الاحتياطي لـ Windows

كشف فريق استخبارات التهديدات في CloudSek عن منشور في منتدى الجرائم الإلكترونية، حيث تم تقديم تحليل لـ CVE-2023-21752 الذي تم الكشف عنه مؤخرًا من قبل جهة تهديد ذات سمعة متوسطة
Updated on
August 19, 2025
Published on
February 21, 2023
Read MINUTES
Subscribe to the latest industry news, threats and resources.
  • الفئة: ذكاء نقاط الضعف
  • فئة نقاط الضعف الأمنية: تصعيد الامتيازات
  • غطاء الكهف: CVE-2023-21752
  • السيرة الذاتية: 3.0 النتيجة: 7.1 (مرتفع)

ملخص تنفيذي

تهديد

  • يتم تعقب CVE-2023-21752 وهي ثغرة تسمح للمستخدم الأساسي بتنفيذ تعليمات برمجية عشوائية على المضيف لحذف الملفات من مسار التخزين المحدد، من خدمة Windows Backup and Restore. لا يمكن تنفيذ هذا الإجراء إلا من قبل المستخدمين المميزين.
  • يمكن الاستفادة من هذا الاستغلال لتصعيد الامتيازات على المضيف من مستخدم أساسي إلى مستخدم SYSTEM.

تأثير

  • حذف ملفات متعددة، خارج نطاق المستخدم الأساسي، بسبب سلاسل الرسائل التي تواجه ظروف السباق.
  • التصعيد إلى مستخدم «SYSTEM» للسماح بالاستحواذ على نظام الكمبيوتر.
  • يتم تقليل سيناريو الاستغلال بسبب التصحيح الكافي

تخفيف

  • يجب تحديث أنظمة التشغيل بأحدث تصحيحات الأمان.

التحليل الفني

حول الثغرة الأمنية

كشف فريق استخبارات التهديدات في CloudSek عن منشور في منتدى الجرائم الإلكترونية، حيث تم تقديم تحليل لـ CVE-2023-21752 الذي تم الكشف عنه مؤخرًا من قبل جهة تهديد ذات سمعة متوسطة. تسمح الثغرة الأمنية للمستخدمين غير المتميزين على النظام بحذف أو تعديل الملفات على مسار وجهة التخزين المطلوبة. يتم تشغيل الثغرة الأمنية باستخدام حالة السباق بين إنشاء ملف مؤقت وحذفه، والذي يحدث بعد عملية المصادقة.

يتعرض مضيفو Windows الذين يتابعون عمليات تثبيت التصحيح غير المنتظمة للخطر، مع احتمال قيام الجهات الفاعلة في مجال التهديد باستخدام الاستغلال في البرية. الشرط الأساسي هو أن يكون لديك حساب محلي على النظام المستهدف.

بعد الاستغلال، يتم إنشاء غلاف CMD مع حصول المستخدمين غير المتميزين على امتيازات «SYSTEM» على مضيف Windows.

يتم تنفيذ كود الاستغلال بنجاح، مما يؤدي إلى حذف الملف من قبل المستخدم العادي

تم تصحيح هذه الثغرة الأمنية من قبل Microsoft، مع تأجيل التحديث الأمني في 10 يناير 2023. تؤثر الثغرة الأمنية على إصدارات Windows 7 و 10 و 11 OS.

الاستغلال

يتم إنشاء ملف مؤقت في مسار الوجهة بواسطة Windows Backup Service، كتأكيد بأن المستخدم لديه امتيازات كافية للقراءة أو الكتابة على الملفات المخزنة هناك. يتم حذف هذا الملف على الفور بمجرد إجراء التحقق. يمكن للجهات الفاعلة في مجال التهديد (ذات الحسابات ذات الامتيازات المنخفضة) الاستفادة من عملية إنشاء الملفات المؤقتة لمحاكاة النسخ الاحتياطي للملفات على محركات أقراص التخزين/المسارات التي يمكن الوصول إليها أو تعديلها من قبلهم.

كما هو موضح من قبل 0 رقعة ، يمكن للجهات الفاعلة قفل الملف المؤقت وبدلاً من ذلك توفير رابط المسار إلى ملف لا يمكنهم تعديله. ثم ينتقل الاستغلال لحذف الملف. يمكن استهداف ملفات النظام والملفات المهمة التي أنشأها المستخدمون الإداريون بالمثل. يمكن الاستفادة من ذلك لحذف الملفات الموجودة على النظام والتي لا يمكن تعديلها بخلاف ذلك، نظرًا لمستوى الامتياز. لمنع حالات السباق التي تحدث بسبب قفل سلاسل الرسائل (بسبب عمليات النسخ الاحتياطي المتزامنة)، يتم تنفيذ وظيفة CheckDevicePathisWriteable () في التصحيح.

التصعيد إلى مستخدم «SYSTEM» على المضيف

تحليل الكود

الوظائف المميزة في مقتطفات الشفرة هي: -

  • احصل على اسم ملف Temp () - بمجرد أن يقوم الممثل بإدخال بيانات اعتماد الحساب غير المميز للمصادقة، يميل Windows Backup Manager إلى إنشاء ملف مؤقت (على مسار وجهة التخزين الذي يطلبه المستخدم). يتم استدعاء اسم الملف هذا واستلامه بواسطة هذه الوظيفة.
  • تحقق من أن مسار الجهاز قابل للكتابة () - تضمن خدمة النسخ الاحتياطي أن المسار قابل للكتابة للمستخدم بمجرد اكتمال المصادقة.

لمنع حالات السباق التي تحدث بسبب قفل سلاسل الرسائل (بسبب عمليات النسخ الاحتياطي المتزامنة)، يتم تنفيذ وظيفة CheckDevicePathisWriteable () في التصحيح.

للملاحظة: الوظيفة الضعيفة هي isWritable () التي يطلق عليها queryStorageDevice ()، والتي تضمن أن مسار التخزين قابل للكتابة.

حالة السباق المؤدية إلى قفل الخيط

يمكن إنشاء ملفات مؤقتة متعددة مرة واحدة عند إجراء عمليات نسخ احتياطي متعددة لـ Windows في نفس الوقت. نظرًا لأن إنشاء الملفات المؤقتة وحذفها يحدث واحدًا تلو الآخر، ولا توجد قيود على الملف بين العمليتين، فإن هذا يتسبب في قيام المهاجم بإنشاء مؤشر ترابط آخر. بعد إنشاء الملف المؤقت وقبل الحذف، يمكن للمهاجم الحصول على مقبض الملف وإنشاء قفل لمنع سلاسل العمليات الأخرى من العمل. في نفس الوقت، يتم حذف الملف، ويتم تعيين مسار الملف الأصلي للإشارة إلى ملفات أخرى. عند تحرير القفل، سيتم حذف الملفات الأخرى المشار إليها.

المراجع

الملحق

ذكر CVE في منتدى الجرائم الإلكترونية الناطق باللغة الروسية


نشر مناقشة الاستغلال

تم العثور على إشارات مختلفة لهذا CVE واستغلال PoC على قنوات Telegram الناطقة باللغة الروسية

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations