🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

CVE-2023-21752: ثغرة تصعيد الامتيازات على خدمة النسخ الاحتياطي لـ Windows

كشف فريق استخبارات التهديدات في CloudSek عن منشور في منتدى الجرائم الإلكترونية، حيث تم تقديم تحليل لـ CVE-2023-21752 الذي تم الكشف عنه مؤخرًا من قبل جهة تهديد ذات سمعة متوسطة
تم التحديث بتاريخ
August 19, 2025
تم النشر في
February 21, 2023
اقرأ الدقائق
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
  • الفئة: ذكاء نقاط الضعف
  • فئة نقاط الضعف الأمنية: تصعيد الامتيازات
  • غطاء الكهف: CVE-2023-21752
  • السيرة الذاتية: 3.0 النتيجة: 7.1 (مرتفع)

ملخص تنفيذي

تهديد

  • يتم تعقب CVE-2023-21752 وهي ثغرة تسمح للمستخدم الأساسي بتنفيذ تعليمات برمجية عشوائية على المضيف لحذف الملفات من مسار التخزين المحدد، من خدمة Windows Backup and Restore. لا يمكن تنفيذ هذا الإجراء إلا من قبل المستخدمين المميزين.
  • يمكن الاستفادة من هذا الاستغلال لتصعيد الامتيازات على المضيف من مستخدم أساسي إلى مستخدم SYSTEM.

تأثير

  • حذف ملفات متعددة، خارج نطاق المستخدم الأساسي، بسبب سلاسل الرسائل التي تواجه ظروف السباق.
  • التصعيد إلى مستخدم «SYSTEM» للسماح بالاستحواذ على نظام الكمبيوتر.
  • يتم تقليل سيناريو الاستغلال بسبب التصحيح الكافي

تخفيف

  • يجب تحديث أنظمة التشغيل بأحدث تصحيحات الأمان.

التحليل الفني

حول الثغرة الأمنية

كشف فريق استخبارات التهديدات في CloudSek عن منشور في منتدى الجرائم الإلكترونية، حيث تم تقديم تحليل لـ CVE-2023-21752 الذي تم الكشف عنه مؤخرًا من قبل جهة تهديد ذات سمعة متوسطة. تسمح الثغرة الأمنية للمستخدمين غير المتميزين على النظام بحذف أو تعديل الملفات على مسار وجهة التخزين المطلوبة. يتم تشغيل الثغرة الأمنية باستخدام حالة السباق بين إنشاء ملف مؤقت وحذفه، والذي يحدث بعد عملية المصادقة.

يتعرض مضيفو Windows الذين يتابعون عمليات تثبيت التصحيح غير المنتظمة للخطر، مع احتمال قيام الجهات الفاعلة في مجال التهديد باستخدام الاستغلال في البرية. الشرط الأساسي هو أن يكون لديك حساب محلي على النظام المستهدف.

بعد الاستغلال، يتم إنشاء غلاف CMD مع حصول المستخدمين غير المتميزين على امتيازات «SYSTEM» على مضيف Windows.

يتم تنفيذ كود الاستغلال بنجاح، مما يؤدي إلى حذف الملف من قبل المستخدم العادي

تم تصحيح هذه الثغرة الأمنية من قبل Microsoft، مع تأجيل التحديث الأمني في 10 يناير 2023. تؤثر الثغرة الأمنية على إصدارات Windows 7 و 10 و 11 OS.

الاستغلال

يتم إنشاء ملف مؤقت في مسار الوجهة بواسطة Windows Backup Service، كتأكيد بأن المستخدم لديه امتيازات كافية للقراءة أو الكتابة على الملفات المخزنة هناك. يتم حذف هذا الملف على الفور بمجرد إجراء التحقق. يمكن للجهات الفاعلة في مجال التهديد (ذات الحسابات ذات الامتيازات المنخفضة) الاستفادة من عملية إنشاء الملفات المؤقتة لمحاكاة النسخ الاحتياطي للملفات على محركات أقراص التخزين/المسارات التي يمكن الوصول إليها أو تعديلها من قبلهم.

كما هو موضح من قبل 0 رقعة ، يمكن للجهات الفاعلة قفل الملف المؤقت وبدلاً من ذلك توفير رابط المسار إلى ملف لا يمكنهم تعديله. ثم ينتقل الاستغلال لحذف الملف. يمكن استهداف ملفات النظام والملفات المهمة التي أنشأها المستخدمون الإداريون بالمثل. يمكن الاستفادة من ذلك لحذف الملفات الموجودة على النظام والتي لا يمكن تعديلها بخلاف ذلك، نظرًا لمستوى الامتياز. لمنع حالات السباق التي تحدث بسبب قفل سلاسل الرسائل (بسبب عمليات النسخ الاحتياطي المتزامنة)، يتم تنفيذ وظيفة CheckDevicePathisWriteable () في التصحيح.

التصعيد إلى مستخدم «SYSTEM» على المضيف

تحليل الكود

الوظائف المميزة في مقتطفات الشفرة هي: -

  • احصل على اسم ملف Temp () - بمجرد أن يقوم الممثل بإدخال بيانات اعتماد الحساب غير المميز للمصادقة، يميل Windows Backup Manager إلى إنشاء ملف مؤقت (على مسار وجهة التخزين الذي يطلبه المستخدم). يتم استدعاء اسم الملف هذا واستلامه بواسطة هذه الوظيفة.
  • تحقق من أن مسار الجهاز قابل للكتابة () - تضمن خدمة النسخ الاحتياطي أن المسار قابل للكتابة للمستخدم بمجرد اكتمال المصادقة.

لمنع حالات السباق التي تحدث بسبب قفل سلاسل الرسائل (بسبب عمليات النسخ الاحتياطي المتزامنة)، يتم تنفيذ وظيفة CheckDevicePathisWriteable () في التصحيح.

للملاحظة: الوظيفة الضعيفة هي isWritable () التي يطلق عليها queryStorageDevice ()، والتي تضمن أن مسار التخزين قابل للكتابة.

حالة السباق المؤدية إلى قفل الخيط

يمكن إنشاء ملفات مؤقتة متعددة مرة واحدة عند إجراء عمليات نسخ احتياطي متعددة لـ Windows في نفس الوقت. نظرًا لأن إنشاء الملفات المؤقتة وحذفها يحدث واحدًا تلو الآخر، ولا توجد قيود على الملف بين العمليتين، فإن هذا يتسبب في قيام المهاجم بإنشاء مؤشر ترابط آخر. بعد إنشاء الملف المؤقت وقبل الحذف، يمكن للمهاجم الحصول على مقبض الملف وإنشاء قفل لمنع سلاسل العمليات الأخرى من العمل. في نفس الوقت، يتم حذف الملف، ويتم تعيين مسار الملف الأصلي للإشارة إلى ملفات أخرى. عند تحرير القفل، سيتم حذف الملفات الأخرى المشار إليها.

المراجع

الملحق

ذكر CVE في منتدى الجرائم الإلكترونية الناطق باللغة الروسية


نشر مناقشة الاستغلال

تم العثور على إشارات مختلفة لهذا CVE واستغلال PoC على قنوات Telegram الناطقة باللغة الروسية

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد