عثر باحثون في شركة الأمن السيبراني أكامي Akamai، على ثغرتين أمنيتين في Microsoft Windows، تم تعيينهما CVE-2023-35384 وCVE-2023-36710.

يمكن للمهاجم على الإنترنت ربط الثغرات الأمنية معًا لإنشاء استغلال كامل لتنفيذ التعليمات البرمجية عن بُعد (RCE) بدون نقرة واحدة ضد عملاء Outlook.

تكمن الثغرة الأمنية الأولى في تحليل المسار بواسطة الدالة MapUrlToZone. يتطلب استغلال هذه الثغرة الأمنية إرسال بريد إلكتروني معد إلى عميل Outlook، والذي بدوره سيقوم بتنزيل ملف صوتي خاص من خادم يتحكم فيه المهاجم.

تكمن الثغرة الأمنية الثانية في مدير ضغط الصوت (ACM). يتم استغلال هذه الثغرة الأمنية عند التشغيل التلقائي للملف الصوتي الذي تم تنزيله، ويمكن أن يؤدي ذلك إلى تنفيذ التعليمات البرمجية على الجهاز الضحية. تم وصف مشكلة عدم الحصانة هذه بالتفصيل في الجزء 2 من مشاركة المدونة هذه.

تم الكشف عن الثغرات الأمنية بشكل مسؤول لشركة Microsoft وتمت معالجتها في أغسطس 2023 وأكتوبر 2023 a> تصحيح أيام الثلاثاء.

تتم حماية أجهزة Windows المثبت عليها تحديث البرنامج لشهر أكتوبر 2023 من هذه الثغرات الأمنية. بالإضافة إلى ذلك، يتمتع عملاء Outlook الذين يستخدمون خوادم Exchange المصحّحة بتحديث برنامج مارس 2023 بالحماية من الميزة التي تم إساءة استخدامها.

نشرت Microsoft إرشادات شاملة لاكتشاف الثغرة الأمنية الأصلية في Outlook والتخفيف من آثارها. من خلال ملاحظتنا، تنطبق جميع الطرق المحددة على الثغرة الأمنية الجديدة لأنها لا تعتمد على عنوان URL المحدد في الخاصية PidLidReminderFileParameter.

توصي أكامي المؤسسات باستخدام التقسيم الجزئي لحظر اتصالات الشركات الصغيرة والمتوسطة الصادرة إلى عناوين IP العامة البعيدة. علاوة على ذلك، نوصي إما بتعطيل NTLM في بيئتك، أو إضافة مستخدمين إلى مجموعة المستخدمين المحميين، مما يمنع استخدام NTLM كآلية مصادقة .

يمكن أن يساعد حظر اتصالات SMB الصادرة وتعطيل NTLM في منع سرقة بيانات الاعتماد. ومع ذلك، عندما تفشل طلبات SMB، ينتقل Windows إلى WebDAV إذا تم تمكينه. لا يمكن إساءة استخدام سرقة بيانات الاعتماد من خلال WebDAV، إلا أن تنزيل الملف الصوتي لا يزال ممكنًا، وهي الخطوة الثانية في سلسلة RCE الخاصة بنا.

المصدر: Akamai