كانت الأخبار الرئيسية الأسبوع الماضي مشكلة عدم حصانة في مكتبة تشفير Windows المتعلقة بالتحقق غير الصحيح من الشهادات الرقمية. تم إغلاق المشكلة من خلال التصحيح التراكمي الذي صدر يوم الثلاثاء ، 14 يناير. وفقا لمايكروسوفت ، لم تكن هناك هجمات حقيقية قبل الكشف عن المعلومات. يبدو أن الضعف هو أول مرة في التاريخ تكتشفها وكالة الأمن القومي الأمريكية. بتعبير أدق ، ربما تشارك وكالة الأمن القومي في البحث عن نقاط الضعف واستغلالها (ربما) بشكل منتظم ، ولكن هذه هي المرة الأولى التي يتم فيها نقل المعلومات علنًا إلى البائع نيابة عن وكالة الأمن القومي.
تؤثر مشكلة عدم الحصانة على أحدث إصدارات نظامي التشغيل Windows 10 و Windows Server 2016/2019. على مقياس CVSSv3 ، يتم تقييمه عند 8.1 نقطة - على محمل الجد ، ولكن كانت هناك أحداث أسوأ. لنظام غير مسبوق ، فإنه يفتح إمكانية حدوث هجوم MiTM معقول للغاية. وهذا يعني أنه يمكنك توجيه المستخدم إلى موقع ويب مزيف حتى لا يقسم المستعرض في حالة عدم وجود الشهادة أو عدم صحتها. وبالمثل ، سيتم تحديد البرامج ذات الشهادة المزيفة على أنها شرعية. هذا ليس خطيرًا مثل الثغرات المكتشفة مسبقًا في خدمات الوصول عن بُعد ، ولكنه سيء بما يكفي للتعاون غير المعتاد بين NSA و Microsoft.
المصادر الأولية:
أخبارنشرة مايكروسوفت
تفاصيل
نشر مدونة Microsoft
وكالة الأمن القومي
الاستشاريةإثبات الفكرة:
واحد ،
اثنان ،
ثلاثةمقالة كتبها برايان كريبس ، الذي كان أول من أبلغ عن الضعف والتصحيح القادم
صور مضحكة (
من هنا ):
من لقطات الشاشة ، من الواضح ما هي المشكلة. نظرًا لحدوث خطأ في مكتبة Crypt32.dll ، يتخطى Windows خطوة مهمة عند التحقق من مفاتيح التشفير باستخدام المنحنيات الإهليلجية. وفقًا لذلك ، يصبح من الممكن إنشاء الشهادة الخاصة بك ، والتي يعتبرها نظام التشغيل صحيحًا. قام Kudelski Security بإنشاء
موقع للتحقق من الثغرات الأمنية. تم توقيع الصفحة بشهادة Github وهمية ، وبعد تثبيت التصحيح ، يجب أن يقسم المتصفح في المجال وعدم تطابق الشهادة. في نظام غير مودع ، يتم التعرف على الشهادة على أنها صالحة ويتم عرض محتويات الصفحة:
زعمت التقارير الأولى عن الثغرة الأمنية أنه ينطبق على جميع إصدارات Windows على مدار العشرين عامًا تقريبًا ، ولكن هذا ليس كذلك. يتم دعم سوى اثنين من أحدث إصدارات Windows 10 وأحدث إصدارات Windows Server. ويندوز 7 لم يكن لديك لتكون مصححة. وسيكون من المثير للاهتمام ، لأن دعم نظام التشغيل هذا انتهى هذا الشهر.
يقتصر نطاق الثغرة الأمنية أيضًا على ميزات تفاعل البرنامج مع مكتبة تشفير Windows. في جميع الحالات ، يمكنك مزامنة توقيع رقمي لبرامج الجهات الخارجية. لا يمكن مزيفة تحديثات نظام Windows - يستخدمون خوارزمية تشفير مختلفة. من الممكن تزوير شهادات لمواقع الويب في المتصفحات Internet Explorer و Microsoft Edge وفي أي مستعرضات أخرى تستند إلى محرك Chromium. لا يتأثر Firefox ، لأنه يستخدم نظام التحقق من صحة الشهادة الخاص به.
في بعض الحالات ، ينظر برنامج مكافحة الفيروسات في وجود شهادة دليل على ضرر البرنامج ، وبالتالي فإن الثغرة الأمنية يمكن أن تسهل نظريًا إصابة جهاز الكمبيوتر بالبرنامج الضار. ومع ذلك ، وفقًا لشركة Kaspersky Lab ، لن يعمل هذا الرقم مع منتجاته. بشكل عام ، يمكننا أن نقول إنها نجحت: تخضع الأنظمة غير المرسلة لخطورة خطيرة إلى حد ما ، ولكن من الضروري لذلك تهيئة الظروف المناسبة لإجراء الهجوم الناجح على MiTM. الأخطر من ذلك قد يكون
خطأ في برنامج Internet Explorer ، والذي يستخدم بالفعل في الهجمات الحقيقية والتي لا يوجد لها تصحيح حتى الآن.
ماذا حدث
جنبا إلى جنب مع خطأ التشفير ، تم
إغلاق ثغرة أمنية خطيرة أخرى في Remote Desktop Services ، والتي يمكن نظريا استخدامها لتنفيذ تعليمات برمجية عشوائية.
لقد ظهر
استغلال عام لثغرة أمنية حرجة في أجهزة توجيه Cisco. يمكن استخدام مشكلة عدم الحصانة ، التي تم
إغلاقها في 3 يناير ، للتحكم الكامل في جهاز الشبكة.
تم العثور على الثغرات الحرجة التالية في الإضافات لـ Wordpress (InfiniteWP Client و WP Time Capsule). يتأثر حوالي 300 ألف موقع ، وتتيح لك الأخطاء الحصول على حقوق المسؤول دون إدخال كلمة مرور.
في غضون عامين ،
لن تدعم Google ملفات تعريف الارتباط من مواقع الجهات الخارجية - هذه هي الطريقة الرئيسية الآن لتتبع سلوك المستخدم لأغراض الدعاية.
في الأسبوع الماضي ،
رفضت شركة آبل مرة أخرى فتح هاتف الإرهابي بناءً على طلب مكتب التحقيقات الفيدرالي. آخر مرة (
في عام 2016 ) ، تمكنت FBI من تلقاء نفسها ، ولكن منذ ذلك الحين تحسنت حماية هواتف Apple بشكل كبير. هذا في الأساس استمرار للمناقشة حول إضعاف طرق تشفير البيانات لأغراض الأمن القومي.