أصدرت شركة مايكروسوفت يوم الثلاثاء تحديثها الأمني التراكمي لشهر أيار/ مايو 2023، المعروف باسم (ثلاثاء التصحيح) Patch Tuesday لأن الشركة اعتادت إطلاقه يوم الثلاثاء من منتصف كل شهر تقريبًا.
وفي تصحيح الشهر الحالي، عالجت عملاقة التقنية الأمريكية ما مجموعه 38 عيبًا، ويشمل ذلك: ست ثغرات خطرة، وثلاث ثغرات من الثغرات المكشوفة التي تُستغَّل اثنتان منها حاليًا بنشاط.
وقالت مايكروسوفت إنها عالجت ثماني ثغرات تتعلق بالامتيازات، وأربع من ثغرات تجاوز ميزة الأمان، و 12 ثغرة أمنية من ثغرات تنفيذ التعليمات البرمجية من بُعد، وثمانٍ من ثغرات الكشف عن المعلومات، وخمس ثغرات في رفض الخدمة، وعيبًا واحد للانتحال.
ويُعدّ (ثلاثاء التصحيح) هذا واحدًا من أصغر التصحيحات من حيث عدد الثغرات الأمنية التي صُححت، إذ أصلحت مايكروسوفت 38 ثغرة فقط، مقارنةً بـ (ثلاثاء التصحيح) لشهر نيسان/ أبريل الماضي، الذي أصلح 97 ثغرة.
ولا يشمل عدد الثغرات، التي أصلحها (ثلاثاء التصحيح) لشهر أيار/ مايو، الثغرات الإحدى عشرة في متصفح (مايكروسوفت إيدج) Microsoft Edge التي أُصلحت في 5 أيار/ مايو الحالي.
ويُصلح (ثلاثاء التصحيح) للشهر الحالي ثلاث ثغرات أمنية مكشوفة تُستغل اثنتان منها بنشاط في الهجمات، وأخرى كُشف عنها علنًا.
يُشار إلى أن مايكروسوفت تُصنِّف الثغرة الأمنية بأنها مكشوفة إن كُشف عنها علنًا أو استُغلّت بنشاط دون توفر إصلاح رسمي.
ويجري تتبع الثغرة المكشوفة الأولى بالمُعرِّف CVE-2023-29336، وهي ثغرة لرفع الامتياز فيما يُعرف بـ Win32k Kernel driver.
وتسمح هذه الثغرة للمهاجمين برفع الامتيازات إلى (النظام) SYSTEM، وهو أعلى مستوى لامتياز المستخدمين في ويندوز. وجاء في النشرة الأمنية التي نشرتها مايكروسوفت: «يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية أن يحصل على امتيازات SYSTEM».
ومع أن مايكروسوفت تتحدث عن استغلال هذه الثغرة بنشاط، لم تقدم تفاصيل بشأن كيفية إساءة استخدامها.
ويجري تتبع الثغرة المكشوفة الثانية بالمُعرِّف CVE-2023-24932، وهي ثغرة لتجاوز ميزة (أمان التمهيد الآمن) Secure Boot Security، ويستخدمها القراصنة لتثبيت مجموعة التمهيد BlackLotus UEFI.
وقالت مايكروسوفت في النشرة الأمنية: «لاستغلال الثغرة الأمنية، يمكن للمهاجم الذي لديه إمكانية الوصول المادي أو حقوق إدارية لجهاز مستهدف، التلاعب بالتمهيد».
يُذكر أن مجموعات التمهيد UEFI هي برامج ضارة مزروعة في البرامج الثابتة لنظام التشغيل وهي غير مرئية لبرامج الأمان التي تعمل داخل نظام التشغيل؛ لأن البرامج الضارة تُحمَّل في المرحلة الأولى من تسلسل التمهيد.
ومنذ شهر تشرين الأول/ أكتوبر 2022، تبيع واحدة من جهات التهديد الفاعلة مجموعة التمهيد BlackLotus في منتديات القراصنة، وهي مستمرة في تطوير ميزاته.
فعلى سبيل المثال، أفادت شركة أمن المعلومات (إسيت) ESET في شهر آذار/ مارس بأن المطور حسَّن البرامج الضارة لتجاوز التمهيد الآمن حتى في أنظمة تشغيل ويندوز 11 المصححة بالكامل.
وفي الشهر الماضي، أصدرت مايكروسوفت إرشادات أمنية بشأن كيفية اكتشاف هجمات BlackLotus UEFI bootkit. ومع (ثلاثاء التصحيح) لشهر أيار/ مايو، أصلحت الشركة الثغرة الأمنية التي تستخدمها bootkit ولكنها لم تُفعِّلها افتراضيًا.
وأصدرت مايكروسوفت أيضًا تحديثًا أمنيًا لواحدة من الثغرات المكشوفة التي كُشف عنها علنًا والتي لم تُستغل بنشاط، وهي CVE-2023-29325 التي هي ثغرة أمنية في تنفيذ التعليمات البرمجية لـ Windows OLE ويمكن استغلاله باستخدام رسائل البريد الإلكتروني المصممة بصورة خاصة.
وتقول مايكروسوفت إنه يمكن للمستخدمين التخفيف من هذه الثغرة الأمنية من خلال قراءة جميع الرسائل بتنسيق النص العادي txt.