المؤلف: فونج دوان مينه، مهندس Software OPSWAT
مقدمة
تصعيد الامتيازات هو نوع من أنواع الاستغلال الذي يوفر للجهات الفاعلة الخبيثة حقوق وصول مرتفعة إلى الموارد المحمية في تطبيق أو نظام تشغيل.
وصف الاستغلال
يمكن استخدام CVE-2019-1405 لرفع امتيازات أي مستخدم محلي إلى مستخدم خدمة محلي.
يمكن استخدام CVE-2019-1322 لرفع امتيازات مستخدم الخدمة المحلي إلى مستخدم النظام المحلي.
ولذلك، فإن الجمع بين كلا الثغرتين في ثغرة واحدة يتيح رفع امتيازات أي مستخدم محلي إلى مستخدم النظام.
تؤثر هذه الثغرات الأمنية على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Microsoft Windows 10 1803 وما فوق والتي لم يتم تحديثها إلى آخر تصحيح أو إلى تصحيح التحديث الأمني الصادر في 12 نوفمبر 2019 [1][2].
التأثير المحتمل
إنه أمر خطير للغاية بالنسبة للمؤسسات لأن هناك العديد من الطرق للوصول إلى أي جهاز داخل المؤسسة. على سبيل المثال، في المؤسسة التي تستخدم وحدة تحكم في المجال، يمكن لأي مستخدم تسجيل الدخول إلى أي جهاز في المجال إذا كان لديه حق الوصول الفعلي إليه. يمكنه فقط الوصول إلى البيانات التي تقتصر على حساب المستخدم الخاص به على الجهاز. ولكن من خلال استخدام هذه الثغرات، يمكنه إنشاء عمليات مرتفعة لـ
- إضافة حسابات مستخدمين جديدة إلى مجموعة الإدارة للوصول إلى الموارد السرية.
- تثبيت أبواب خلفية وبرامج خبيثة على جهاز الضحية لاستغلالها لاحقًا.
- عرض أي بيانات أو تغييرها أو حذفها.
كيف تساعدك OPSWAT في اكتشاف الثغرات الأمنية
MetaDefender Access اكتشاف الأجهزة التي تعاني من الثغرات الأمنية وتقديم إرشادات العلاج.
بعد تثبيت MetaDefender Endpointفإنه سيكتشف الثغرات الأمنية في نقاط النهاية ويرسل تقريراً إلى MetaDefender Access. وسيقوم MetaDefender Access بتحليل البيانات وإخطار المستخدمين النهائيين في حال اكتشاف أي ثغرة أمنية مع إرشادات مفيدة لمعالجة الثغرات المكتشفة. يمكن للمسؤولين أيضًا إدارة جميع الأجهزة المعرضة للخطر عبر وحدة تحكم الويب MetaDefender Access.
MetaDefender Core مع تقنية file-based vulnerability assessment اكتشاف الثغرات الأمنية في الملفات الثنائية على نقاط النهاية. يوفر MetaDefender Core واجهات برمجة التطبيقات التي يمكن استخدامها للتكامل مع خدمات أخرى لفحص الملفات. على سبيل المثال: فحص الملفات الداخلة والخارجة من شبكة مؤسستك.
- إذا كان الملف الضعيف ضمن ملفات النظام، فهذه علامة على ضرورة تحديث نظامك.
- إذا كان الملف المعرض للخطر هو ملفات البرنامج، فيجب عليك تحديث البرنامج أو التفكير في إلغاء تثبيت البرنامج مؤقتاً.
- إذا كانت أداة التثبيت ضعيفة، فيجب عدم تثبيتها على أي جهاز في مؤسستك.
- إذا كان أحد ملفات المكتبات في مشروعك ضعيفًا، فيجب عليك العثور على أحدث إصدار مصحح من المكتبة أو التوقف عن استخدامها إذا لم يكن هناك تصحيح للثغرات.
كيف تستغل؟
يمكن العثور على كود استغلال هذه الثغرة على https://www.exploit-db.com/exploits/47684، كوحدة نمطية لإطار عمل Metasploit من Rapid7 [3].
استغلال العرض التوضيحي:
- الجهاز المهاجم: كالي لينكس كالي لينكس
- الجهاز الضحية: ويندوز 10 1803 x64
- يفترض العرض التوضيحي أن المهاجم قد تمكن بالفعل من الوصول إلى جهاز الضحية.
الاصلاح
يوصى بشدة أن تحافظ دائمًا على تحديث نظام التشغيل Windows، وخاصةً التحديثات المتعلقة بالأمان (KB)؛ أو على الأقل تطبيق تصحيحات الأمان حتى نوفمبر 2019.
مراجع
[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability of Privilege Vulnerability". متاح: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] "CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability of Privilege Vulnerability". متاح: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Metasploit of Rapid7". متاح: https://www.metasploit.com/