تسرب الكود الاستغلالي لثغرة يوم الصفر في ويندوز المعروفة باسم “بلو هامر” قد يكون علامة على مشكلة أكبر تواجهها الباحثون في الأمن السيبراني عند التعاون مع مايكروسوفت.
تسرب الكود الاستغلالي لثغرة يوم الصفر في ويندوز المعروفة باسم “بلو هامر” على الإنترنت قد يكون علامة على مشكلة أكبر تواجهها الباحثون في الأمن السيبراني عند التعاون مع مايكروسوفت في عملية الكشف عن الثغرات.
باستخدام الاسم المستعار “تشاوتيك إكليبس”، نشر باحث بشكل مجهول تدوينة على مدونة في 2 أبريل تحتوي على رابط GitHub للاستغلال، معبرًا عن استيائه من مايكروسوفت بسبب عدم كفاية استجابتها للإبلاغ عن الثغرة.
“لم أكن أُمازح مايكروسوفت وسأفعل ذلك مرة أخرى،” كتب الباحث في التدوينة. كما أشار منشور مرافق على حساب X بنفس الاسم إلى إصدار الاستغلال مع رابط للتدوينة، مدعيًا أنه في وقت كتابة هذه السطور، “لا تزال الثغرة غير مصححة.”
كما ألمح الباحث إلى أنه كان لديه تفاعل غير مرضٍ مع مركز استجابة الأمن في مايكروسوفت (MSRC) بشأن الكشف عن الثغرة، لكنه لم يوضح بالضبط ما حدث. “أنا فقط أتساءل حقًا عن الحسابات وراء قرارهم، مثل أنك كنت تعرف أن هذا سيحدث وما زلت فعلت ما فعلته،” كتب كجزء من README على منشور GitHub.
هل هناك مشكلة منهجية في الكشف عن الثغرات؟
هذا الإحباط الواضح تجاه مايكروسوفت لم يكن مفاجئًا لدستين تشايلدز، رئيس الوعي بالتهديدات في مبادرة يوم الصفر من تريند مايكرو (ZDI)، الذي قال إن شركته واجهت “إحباطات مماثلة مع MSRC في الماضي أيضًا.”
“لقد سمعت من أكثر من باحث واحد قال إنه لم يعد يعمل على ثغرات مايكروسوفت لأن عملية الكشف محبطة للغاية،” يقول تشايلدز لدرك ريدينغ.
انتقد الباحثون وبائعي الأمن السيبراني مايكروسوفت لسنوات بسبب برنامج الكشف عن الثغرات ونقص الشفافية في الكشف عن بعض الثغرات السحابية. في الواقع، جعلت مايكروسوفت الكشف عن الثغرات والشفافية ركيزة أساسية في مبادرة المستقبل الآمن (SFI) للشركة في عام 2023، وتفاخر لاحقًا بتحسينات في تلك المجالات.
في بيان عبر البريد الإلكتروني، قالت مايكروسوفت إنها ملتزمة بالتحقيق في القضايا الأمنية المبلغ عنها وتحديث الأجهزة المتأثرة لحماية العملاء في أسرع وقت ممكن. كما أكدت الشركة دعمها للكشف المنسق عن الثغرات لحماية كل من العملاء ومجتمع البحث الأمني.
تفاصيل ثغرة بلو هامر
تجمع الثغرة يوم الصفر بين حالة سباق (TOCTOU) والتشويش على المسار في نظام تحديث توقيع ويندوز ديفندر، وفقًا لتحذير من مركز تحليل ومشاركة المعلومات في قطاع التجزئة والضيافة (RH-ISAC). إذا تم استغلالها بنجاح، يمكن لمستخدم محلي الوصول إلى قاعدة بيانات حساب الأمان (SAM)، والحصول على تجزئات كلمات المرور، وفي النهاية الحصول على حقوق المسؤول باستخدام تقنية تمرير التجزئة، مما يمنح المهاجم السيطرة الكاملة على النظام.
يقول تشايلدز لدرك ريدينغ إن إثبات المفهوم (PoC) للاستغلال الذي نشره تشاوتيك إكليبس شرعي، لكنه غير متأكد “من مدى إمكانية استغلاله في الممارسة العملية.”
قال ويل دورمان، المحلل الرئيسي للثغرات في ثاروس، في منشور على منصة التواصل الاجتماعي ماستودون إن الاستغلال يعمل على نظام سطح المكتب، بينما قال باحثون آخرون إنه لا يعمل حاليًا على ويندوز سيرفر.
يقول تشايلدز إن هذا قد يكون بسبب “وجود تدابير وقائية واختلافات على منصات الخادم غير الموجودة على المنصات العميلة.” “أعتقد أيضًا أن الاستغلال ليس موثوقًا بنسبة 100%، وهذا هو السبب في أن بعض الأشخاص قد يواجهون نتائج مختلفة،” يضيف. “الاعتمادية في الاستغلالات صعبة.”
في الواقع، اعترف الباحث الذي نشر PoC في ملاحظاته على GitHub أن الاستغلال قد يحتوي على عيوب قد تمنعه من العمل، والتي قال إنه سيتم إصلاحها في وقت لاحق. قال تشاوتيك إكليبس في منشور على X يوم الأربعاء إن مايكروسوفت قامت بتحديث الكود، والذي “لم يصلح الأخطاء ولكنه جعل الاستغلال أصعب قليلاً في الكشف.”
خذ ثغرات يوم الصفر على محمل الجد
نظرًا لأن التفاصيل لا تزال شحيحة حول الثغرة، فإن ذلك يجعل من الصعب على المدافعين تخفيف الأنظمة المتأثرة حتى تعترف مايكروسوفت بها وتقوم بتصحيحها. في الواقع، يجب أن تكون التخفيفات في مقدمة الاهتمام بالنسبة للثغرات غير المصححة، حيث إن المهاجمين يبحثون دائمًا عن الثغرات التي يمكنهم استغلالها في البرية. إن إصدار كود الاستغلال العام يجعل الأنظمة الضعيفة أكثر عرضة للخطر.
تعتبر ثغرات يوم الصفر في مايكروسوفت أهدافًا شائعة للمهاجمين، وغالبًا ما تكون أساسًا لموجات كبيرة من الهجمات السيبرانية، خاصة على الأنظمة المؤسسية. في منشور على مدونة يوم الأربعاء، حذرت مزود خدمات الأمن المدارة سايديريس من أن المهاجم الماهر من المحتمل أن يكون قادرًا على حل أي مشكلات مع PoC الاستغلال، وأن عصابات ransomware والمجموعات المستمرة المتقدمة (APTs) عادة ما تنشر مثل هذه الاستغلالات “في غضون أيام من الإصدار.”
بينما ينتظرون تصحيح الثغرة، يجب على المنظمات التي تستخدم ويندوز في بيئات تكنولوجيا المعلومات الخاصة بها الاستمرار في ممارسة النظافة الأمنية السليمة، وتحذير موظفيها من الحذر من الهندسة الاجتماعية التي قد تسمح لمهاجم بالحصول على بيانات اعتماد النظام، ومراقبة أي نشاط غير عادي على أنظمتهم لمنع الاختراق، وفقًا لخبراء الأمن.
لا تفوت أحدث بودكاست Dark Reading Confidential، “الرؤساء الأمنيون جميعهم في مجال الذكاء الاصطناعي: إليك لماذا”، حيث يناقش رئيس قسم المعلومات في Reddit فريدريك لي والمحلل في أومديا ديف غروبر الذكاء الاصطناعي وتعلم الآلة في مركز العمليات الأمنية، وكيف كانت النشر الناجحة (أو لم تكن) وما ينتظر منتجات الأمان الخاصة بالذكاء الاصطناعي. استمع الآن!
بينما ينتظرون تصحيح الثغرة، يجب على المنظمات التي تستخدم ويندوز في بيئات تكنولوجيا المعلومات الخاصة بها الاستمرار في ممارسة النظافة الأمنية السليمة.
