الثغرات المنشورة في Windows Defender تُستخدم الآن في الهجمات

قالت شركة الأمن السيبراني Huntress إن مجموعة من الثغرات الأمنية في Windows نُشرت عبر الإنترنت على يد باحث في وقت سابق من هذا الشهر قد استُخدمت بالفعل في عملية اختراق واقعية واحدة على الأقل. ويحوّل هذا التطور ما كان إفصاحًا عامًا عن ثغرة إلى خطر تشغيلي مباشر على المؤسسات التي تعتمد على Microsoft Defender ولم تطبق بعد الإصلاحات المتاحة أو الضوابط التعويضية.

قالت Huntress إن المهاجمين يستغلون ثلاث ثغرات معروفة باسم BlueHammer وUnDefend وRedSun. ومن بين هذه الثغرات، لم تقم Microsoft حتى الآن إلا بتصحيح BlueHammer، بعدما طرحت الشركة إصلاحًا في وقت سابق من هذا الأسبوع. أما المشكلات المتبقية، كما ورد في النص المصدر المرفق، فلا تزال تترك قدرًا من عدم اليقين بشأن مدى تعرض بعض المؤسسات إذا كانت تعتمد على الحماية الافتراضية أو غير المعدلة في Defender.

كما تؤكد هذه الحادثة توترًا قديمًا في أمن الحاسوب: فالإفصاح العلني قد يضغط على الشركات الموردة للاستجابة بسرعة أكبر، لكن نشر شيفرة استغلال تفصيلية قبل انتشار التصحيحات على نطاق واسع يمكن أن يخفض فورًا العائق أمام الجهات الخبيثة. وفي هذه الحالة، أفاد TechCrunch بأن نشاط الاستغلال يبدو أنه يستخدم شيفرة نشرها باحث يعمل تحت اسم Chaotic Eclipse.

كيف دخلت الثغرات إلى المجال العام

وفقًا للنص المصدر، نشر Chaotic Eclipse أولًا شيفرة قال إنها تستغل ثغرة غير مصححة في Windows، مع الإشارة إلى الإحباط من طريقة تعامل Microsoft مع المشكلة. وبعد أيام، نشر الباحث مواد استغلال إضافية لكل من UnDefend وRedSun، بما في ذلك شيفرة مستضافة على GitHub. وتؤثر الثغرات الثلاث كلها في Microsoft Defender ويمكن أن تسمح للمهاجم بالحصول على صلاحيات مرتفعة على مستوى المسؤول في نظام Windows مستهدف.

تكتسب هذه التسلسلات أهمية لأن نشر الاستغلال يغيّر بيئة التهديد بسرعة. فبمجرد أن تصبح الشيفرة العاملة علنية، لم يعد المهاجمون بحاجة إلى اكتشاف الخلل بأنفسهم أو بناء أدواتهم من الصفر. يمكنهم تكييف المواد المنشورة وأتمتتها واختبارها ضد الأنظمة المكشوفة بسرعة.

ولا يحدد النص المصدر المؤسسة الضحية، ولا يسمّي الجهة المهددة المسؤولة. لكن غياب الإسناد لا يقلل من أهمية القضية. عمليًا، أصبح لدى المدافعين الآن دليل مؤكد على أن مهاجمين انتهازيين أو موجّهين يتصرفون بناءً على هذه الإفصاحات.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic تقدم طلبًا سريًا لبدء عملية الطرح العام الأولي

تقول Anthropic إنها قدمت بيان تسجيل مسودة إلى هيئة الأوراق المالية والبورصات الأمريكية، لتبدأ بذلك عملية الإدراج العام.

Read article

لماذا تُعد الثغرات المتعلقة بـ Defender حساسة بشكل خاص

تشغل منتجات الأمن موقعًا متميزًا داخل الأنظمة المؤسسية. وغالبًا ما تعمل أدوات مكافحة الفيروسات وحماية نقاط النهاية مع رؤية عميقة للملفات والذاكرة والعمليات وسلوك نظام التشغيل. هذه القدرة على الوصول هي ما يسمح لها باكتشاف التهديدات وحظرها، لكنها تعني أيضًا أن نقاط الضعف داخل طبقة الأمن قد تصبح ذات قيمة استثنائية للمهاجمين.

إذا أمكن استخدام خلل في Defender للحصول على وصول عالي المستوى أو تعطيل الحماية أو مساعدة البرمجيات الخبيثة على البقاء داخل النظام، فإن المهاجم لا يتجاوز مجرد ضابط واحد. بل قد يقوّض البرنامج الذي تعتمد عليه كثير من المؤسسات بوصفه آلية دفاع أساسية. وهذا يخلق خطرًا لاحقًا أكبر من المعتاد، خصوصًا في البيئات التي ينتشر فيها Defender على نطاق واسع ويُعتمد عليه مركزيًا.

يشير النص المصدر إلى أن الثغرات الثلاث كلها تؤثر في Defender ويمكن أن تتيح وصولًا مرتفع الصلاحيات. وحتى من دون تفاصيل تقنية إضافية، فهذا يكفي لتوضيح سبب جذب شيفرة الاستغلال العامة اهتمامًا فوريًا من فرق الأمن والمهاجمين على حد سواء.

موقف Microsoft وجدال الإفصاح

قالت Microsoft لـ TechCrunch إنها تؤيد الإفصاح المنسق عن الثغرات، وهي الممارسة المعتمدة في الصناعة التي يقوم فيها الباحثون بالإبلاغ عن المشكلات بشكل خاص وإتاحة الوقت للتحقيق والمعالجة قبل نشر التفاصيل التقنية علنًا. وصُمم هذا النموذج لتقليل احتمال مفاجأة المدافعين وهم غير مستعدين.

تُظهر هذه الحادثة الجانب السلبي عندما ينهار ذلك المسار. قد يكشف الضغط العام عن توترات غير محسومة بين الباحثين والموردين، لكن المؤسسات الواقعة في الوسط تتحمل الخطر. وبمجرد توفر تفاصيل الاستغلال، تضيق نافذة التصحيح الآمن بشكل حاد.

وفي الوقت نفسه، يوضح النص المصدر أن Microsoft قامت بالفعل بتصحيح BlueHammer، ما يشير إلى أن جزءًا على الأقل من سلسلة الاستجابة يعمل. أما القلق الأكثر إلحاحًا فهو حالة المشكلات الأخرى التي تم الإفصاح عنها، وما إذا كانت المؤسسات تملك إرشادات تخفيف واضحة ريثما تصل الإصلاحات الأوسع.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

أصبح استخدام VPN على أجهزة التلفزيون الذكية جزءًا من أمن الشبكة المنزلية

تُطرح VPN القائمة على الموجّه لأجهزة التلفزيون الذكية ليس فقط للوصول إلى البث، بل أيضًا كوسيلة لتقليل تعرّض البيانات عبر الأجهزة المنزلية المتصلة.

Read article

ماذا يعني هذا للمؤسسات الآن

أهم نتيجة على المدى القريب هي أن هذه لم تعد ثغرات نظرية. فقد تعرضت مؤسسة واحدة على الأقل للاختراق بالفعل باستخدام الثغرات المنشورة. وهذا ينقل الأولوية من متابعة الخبر إلى التعامل معه بوصفه مشكلة نشطة في إدارة التعرض.

ينبغي لفرق الأمن التي تستخدم Microsoft Defender التحقق مما إذا كانت تصحيحات BlueHammer قد طُبقت، ومراجعة تنبيهات Microsoft للحصول على أحدث الإرشادات، والتدقيق في الأنظمة بحثًا عن مؤشرات على تصعيد غير معتاد للصلاحيات أو العبث بـ Defender. وبما أن شيفرة استغلال عامة متورطة، ينبغي للمؤسسات أيضًا افتراض احتمال نشاط المقلدين.

كما توجد عبرة أوسع لقادة الأمن المؤسسي. فلا يمكن قياس القوة الدفاعية فقط بالاعتماد على الأدوات المثبتة. بل تعتمد أيضًا على سرعة تصحيح الموردين، وسرعة نشر المؤسسات للتحديثات، وما إذا كانت الفرق قادرة على اكتشاف إساءة الاستخدام عندما تصبح برمجيات الحماية نفسها جزءًا من مسار الهجوم.

القصة المباشرة تتعلق بثلاث ثغرات في Windows واختراق واحد مؤكّد. أما القصة الأكبر فهي مدى سرعة انتقال القدرة الهجومية الآن من منشور باحث على مدونة إلى الاستخدام التشغيلي. وفي مثل هذه البيئة، تصبح مدة التأخير في تثبيت التصحيحات، والرؤية لسلوك نقاط النهاية، والاستجابة المنضبطة للحوادث أكثر أهمية من أي وقت مضى.

هذه المقالة مبنية على تقرير TechCrunch. اقرأ المقال الأصلي.

Originally published on techcrunch.com