برطرف‌کردن ۶۱ آسیب‌پذیری، از جمله نقص‌های حیاتی Hyper-V توسط به‌روزرسانی‌های مایکروسافت

مایکروسافت روز سه‌شنبه ۱۲ مارچ ۲۰۲۳ به‌روزرسانی امنیتی ماهانه خود را منتشر کرد که به ۶۱ نقص امنیتی مختلف در نرم‌افزار خود رسیدگی می‌کند[۱]، از جمله دو مشکل حیاتی که بر ویندوز Hyper-V تأثیر می‌گذارد که می‌تواند منجر به انکار سرویس (DoS) و اجرای کد از راه دور شود.

از ۶۱ آسیب‌پذیری، دو آسیب‌پذیری بحرانی، ۵۸ آسیب‌پذیری مهم، و یکی از آسیب‌پذیری‌ها دارای رتبه‌ی کم در شدت درجه‌بندی شده‌اند. هیچ یک از ایرادات در زمان انتشار به‌عنوان شناخته شده یا تحت حمله فعال فهرست نشده‌اند، اما شش مورد از آنها با ارزیابی «احتمال بیشتر بهره‌برداری» برچسب‌گذاری شده‌اند.

این اصلاحات علاوه بر ۱۷ نقص امنیتی[۲] است که از زمان انتشار به‌روزرسانی‌های سه‌شنبه‌های مایکروسافت در فوریه ۲۰۲۴ در مرورگر Edge مبتنی بر Chromium این شرکت اصلاح شده است[۳].

در صدر لیست آسیب‌پذیری‌های مهم CVE-2024-21407 و CVE-2024-21408 قرار دارند که Hyper-V را تحت‌تأثیر قرار می‌دهند و می‌توانند به ترتیب منجر به اجرای کد از راه دور و شرایط DoS شوند.

به‌روزرسانی مایکروسافت همچنین به نقص‌های افزایش امتیاز در کانتینر محرمانه سرویس Azure Kubernetes (CVE-2024-21400، امتیاز ۰/۹ در مقیاس CVSS)، سیستم فایل تصویر ترکیبی Windows (CVE-2024-26170، امتیاز ۸/۷ در مقیاس CVSS) و Authentic (CVE-2024-21390، امتیاز ۱/۷ در مقیاس CVSS) می‌پردازد.

بهره‌برداری موفقیت‌آمیز از CVE-2024-21390 مستلزم آن است که مهاجم از طریق بدافزار یا برنامه مخربی که قبلاً از طریق ابزارهای دیگر نصب شده است، روی دستگاه حضور داشته باشد. همچنین لازم است که قربانی برنامه Authenticator را ببندد و دوباره باز کند.

مایکروسافت در گزارشی گفت[۴]: «استفاده از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد به کدهای احراز هویت چندعاملی برای حساب‌های قربانی دسترسی پیدا کند، همچنین حساب‌های موجود در برنامه احراز هویت را تغییر دهد یا حذف کند، اما مانع از راه‌اندازی یا اجرای برنامه نمی‌شود».

Satnam Narang، مهندس تحقیقات ارشد کارکنان در Tenable در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شده است، گفت: «درحالی‌که احتمال بهره‌برداری از این نقص کمتر است، ما می‌دانیم که مهاجمان مشتاق هستند تا راه‌هایی برای دورزدن احراز هویت چندعاملی بیابند».

“دسترسی به یک دستگاه هدف به‌اندازه کافی بد است؛ زیرا آنها می‌توانند ضربه‌های کلید را نظارت کنند، داده‌ها را سرقت کنند و کاربران را به وب‌سایت‌های فیشینگ هدایت کنند، اما اگر هدف مخفی ماندن است، آنها می‌توانند این دسترسی را حفظ کنند و کدهای احراز هویت چندعاملی را برای ورود به حساب‌های حساس بدزدند، داده‌ها را سرقت کنند یا حساب‌ها را توسط تغییر رمز عبور و جایگزینی دستگاه احراز هویت چندمرحله‌ای Hijack کنند که عملاً کاربر را از حساب‌هایش قفل می‌کند.”

یکی دیگر از آسیب‌پذیری‌های موردتوجه، یک اشکال افزایش امتیاز در مؤلفه Print Spooler (CVE-2024-21433، امتیاز ۰/۷ در مقیاس CVSS) است که می‌تواند به مهاجم اجازه دهد امتیازات SYSTEM را دریافت کند، اما تنها پس از برنده شدن در شرایط مسابقه.

این به‌روزرسانی همچنین یک نقص اجرای کد از راه دور را در سرور Exchange (CVE-2024-26198، امتیاز ۸/۸ در مقیاس CVSS) وصل می‌کند که یک عامل تهدید احراز هویت نشده می‌تواند با قرار دادن یک فایل ساخته‌شده خاص در یک فهرست آنلاین و فریب قربانی برای باز کردن آن در اجرای فایل های DLL مخرب بهره‌برداری کند.

آسیب‌پذیری با بالاترین رتبه CVSS CVE-2024-21334 (امتیاز ۸/۹ در مقیاس CVSS) است که مربوط به یک مورد اجرای کد از راه دور است که بر زیرساخت مدیریت باز (OMI) تأثیر می گذارد.

Redmond می‌گوید: «یک مهاجم بدون احراز هویت از راه دور می‌تواند از اینترنت به نمونه OMI دسترسی پیدا کند و درخواست‌های طراحی‌شده ویژه‌ای را برای ایجاد یک آسیب‌پذیری پس از استفاده رایگان ارسال کند».

Narang گفت: «سه‌ماهه اول Patch Tuesday در سال ۲۰۲۴ در مقایسه با چهار سال گذشته آرام‌تر بوده است. “به طور متوسط، ۲۳۷ مورد CVE وصله شده در سه ماهه اول از ۲۰۲۰ تا ۲۰۲۳ وجود داشته است. در سه ماهه اول سال ۲۰۲۴، مایکروسافت تنها ۱۸۱ مورد CVE وصله کرده است. میانگین تعداد وصله‌های CVE در ماه مارس در چهار سال گذشته ۸۶ مورد بوده است.»

وصله‌های نرم‌افزاری از سایر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب‌پذیری منتشر شده است، از جمله: