🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
كشف فريق استخبارات التهديدات في CloudSek عن منشور في منتدى الجرائم الإلكترونية، حيث تم تقديم تحليل لـ CVE-2023-21752 الذي تم الكشف عنه مؤخرًا من قبل جهة تهديد ذات سمعة متوسطة. تسمح الثغرة الأمنية للمستخدمين غير المتميزين على النظام بحذف أو تعديل الملفات على مسار وجهة التخزين المطلوبة. يتم تشغيل الثغرة الأمنية باستخدام حالة السباق بين إنشاء ملف مؤقت وحذفه، والذي يحدث بعد عملية المصادقة.
يتعرض مضيفو Windows الذين يتابعون عمليات تثبيت التصحيح غير المنتظمة للخطر، مع احتمال قيام الجهات الفاعلة في مجال التهديد باستخدام الاستغلال في البرية. الشرط الأساسي هو أن يكون لديك حساب محلي على النظام المستهدف.
بعد الاستغلال، يتم إنشاء غلاف CMD مع حصول المستخدمين غير المتميزين على امتيازات «SYSTEM» على مضيف Windows.
تم تصحيح هذه الثغرة الأمنية من قبل Microsoft، مع تأجيل التحديث الأمني في 10 يناير 2023. تؤثر الثغرة الأمنية على إصدارات Windows 7 و 10 و 11 OS.
يتم إنشاء ملف مؤقت في مسار الوجهة بواسطة Windows Backup Service، كتأكيد بأن المستخدم لديه امتيازات كافية للقراءة أو الكتابة على الملفات المخزنة هناك. يتم حذف هذا الملف على الفور بمجرد إجراء التحقق. يمكن للجهات الفاعلة في مجال التهديد (ذات الحسابات ذات الامتيازات المنخفضة) الاستفادة من عملية إنشاء الملفات المؤقتة لمحاكاة النسخ الاحتياطي للملفات على محركات أقراص التخزين/المسارات التي يمكن الوصول إليها أو تعديلها من قبلهم.
كما هو موضح من قبل 0 رقعة ، يمكن للجهات الفاعلة قفل الملف المؤقت وبدلاً من ذلك توفير رابط المسار إلى ملف لا يمكنهم تعديله. ثم ينتقل الاستغلال لحذف الملف. يمكن استهداف ملفات النظام والملفات المهمة التي أنشأها المستخدمون الإداريون بالمثل. يمكن الاستفادة من ذلك لحذف الملفات الموجودة على النظام والتي لا يمكن تعديلها بخلاف ذلك، نظرًا لمستوى الامتياز. لمنع حالات السباق التي تحدث بسبب قفل سلاسل الرسائل (بسبب عمليات النسخ الاحتياطي المتزامنة)، يتم تنفيذ وظيفة CheckDevicePathisWriteable () في التصحيح.
الوظائف المميزة في مقتطفات الشفرة هي: -
لمنع حالات السباق التي تحدث بسبب قفل سلاسل الرسائل (بسبب عمليات النسخ الاحتياطي المتزامنة)، يتم تنفيذ وظيفة CheckDevicePathisWriteable () في التصحيح.
للملاحظة: الوظيفة الضعيفة هي isWritable () التي يطلق عليها queryStorageDevice ()، والتي تضمن أن مسار التخزين قابل للكتابة.
يمكن إنشاء ملفات مؤقتة متعددة مرة واحدة عند إجراء عمليات نسخ احتياطي متعددة لـ Windows في نفس الوقت. نظرًا لأن إنشاء الملفات المؤقتة وحذفها يحدث واحدًا تلو الآخر، ولا توجد قيود على الملف بين العمليتين، فإن هذا يتسبب في قيام المهاجم بإنشاء مؤشر ترابط آخر. بعد إنشاء الملف المؤقت وقبل الحذف، يمكن للمهاجم الحصول على مقبض الملف وإنشاء قفل لمنع سلاسل العمليات الأخرى من العمل. في نفس الوقت، يتم حذف الملف، ويتم تعيين مسار الملف الأصلي للإشارة إلى ملفات أخرى. عند تحرير القفل، سيتم حذف الملفات الأخرى المشار إليها.