مایکروسافتمایکروسافت به‌روزرسانی‌های امنیتی را برای ماه آوریل ۲۰۲۴ منتشر کرده است تا در یک رکورد ۱۴۹ نقص[۱] را اصلاح کند که دو مورد از آنها تحت بهره‌برداری فعال در سطح اینترنت قرار گرفته است.

از ۱۴۹ نقص، سه مورد در دسته بندی حیاتی قرار دارند، ۱۴۲ مورد دارای دسته بندی مهم هستند، سه مورد دارای رتبه متوسط و یک مورد نیز از نظر شدت آسیب‌پذیری پایین است. این به روزرسانی گذشته از ۲۱ آسیب‌پذیری[۲] است که این شرکت پس از انتشار اصلاحات سه شنبه مارس ۲۰۲۴، در مرورگر Edge Chromium خود به آن پرداخته است[۳].

دو آسیب‌پذیری که تحت بهره‌برداری فعال قرار گرفته‌اند در زیر آورده شده‌اند:

  • CVE-2024-26234 (امتیاز ۷/۶ در مقیاس CVSS)-آسیب‌پذیری جعل Proxy Driver
  • CVE-2024-29988 (امتیاز ۸/۸ در مقیاس CVSS)- آسیب‌پذیری دور زدن ویژگی امنیتی SmartScreen

درحالی‌که گزارش مایکروسافت هیچ اطلاعاتی در مورد CVE-2024-26234 ارائه نمی‌دهد، شرکت امنیت سایبری Sophos گفت که در دسامبر سال ۲۰۲۳ یک اجرایی مخرب (“کاتالوگ.EXE” یا “سرویس مشتری تأیید اعتبار کاتالوگ”) را کشف کرد که توسط یک گواهی معتبر سازگاری سخت افزار Microsoft Windows ([4]WHCP) امضا شده است[۵].

تجزیه‌وتحلیل AuthentiCode از باینری[۶]، ناشر درخواست‌کننده اصلی Hainan Youhu Technology Ltd را نشان داد که همچنین ناشر ابزار دیگری به نام Laixi Android Screen Miriroring است.

مورد دوم به‌عنوان “یک نرم‌افزار بازاریابی… [که] می‌تواند صدها تلفن همراه را به هم وصل کرده و آنها را در دسته‌ها کنترل کند و وظایف خود را به‌صورت خودکار مانند batch following، liking و اظهارنظر انجام دهد.”

مؤلفه‌ای به نام ۳Proxy[7] در سرویس تأیید اعتبار موجود است که برای نظارت و رهگیری ترافیک شبکه روی یک سیستم آلوده طراحی شده است که به طور مؤثری به‌عنوان یک درب پشتی عمل می‌کند.

Andreas Klopsch، محقق سوفوس در این باره گفت[۸]: “ما هیچ مدرکی نداریم که نشان دهد توسعه‌دهندگان Laixi به طور عمدی پرونده مخرب را در محصول خود جاسازی کرده‌اند، یا اینکه یک بازیگر تهدید یک حمله زنجیره تأمین را برای واردکردن آن در فرایند تدوین/ساخت برنامه Laixi انجام داده است.”

این شرکت امنیت سایبری همچنین گفت که چندین نوع دیگر از درب پشتی را در سطح اینترنت کشف کرده است که مربوط به ۵ ژانویه ۲۰۲۳ است و این نشان می دهد که این کمپین حداقل از آن زمان در حال انجام است. مایکروسافت از آن زمان پرونده های مربوطه را به لیست ابطال خود اضافه کرده است.

دومین نقص امنیتی که گفته می‌شود تحت حمله فعال قرار گرفته است CVE-2024-29988 است که – مانند [۹]CVE-2024-21412 و [۱۰]CVE-2023-36025-به مهاجمان این امکان را می‌دهد تا هنگام باز کردن یک پرونده خاص ساخته شده از Microsoft Defender SmartScreen محافظت کنند.

مایکروسافت گفت: “برای بهره‌برداری از این آسیب‌پذیری دورزدن ویژگی امنیتی، یک مهاجم باید کاربر را متقاعد کند که پرونده‌های مخرب را با استفاده از یک برنامه launcher که درخواست می‌کند UI نشان داده نشود، راه‌اندازی کند.”

“در یک سناریوی حمله توسط ایمیل یا پیام فوری، مهاجم می‌تواند به کاربر هدفمند یک فایل مخصوص ساخته شده را ارسال کند که برای بهره‌برداری از آسیب‌پذیری اجرای کد از راه دور طراحی شده است.”

این ابتکار روز صفر نشان داد[۱۱] که شواهدی مبنی بر بهره‌برداری از این نقص در سطح اینترنت وجود دارد، اگرچه مایکروسافت آن را با ارزیابی “بهره‌برداری بیشتر” برچسب‌گذاری کرده است.

آسیب‌پذیری دیگر CVE-2024-29990 است (امتیاز ۹ در مقیاس CVSS)، یک آسیب‌پذیری افزایش سطح دسترسی که روی کانتینر محرمانه Microsoft Azure Kubernetes Service تأثیر می گذارد که می تواند توسط مهاجمان غیرمجاز برای سرقت اعتبار مورد بهره‌برداری قرار گیرد.

ردموند گفت: “یک مهاجم می‌تواند به گره AKS Kubernetes غیرقابل‌اعتماد و کانتینر محرمانه AKS دسترسی پیدا کند تا میهمانان و کانتینر محرمانه را فراتر از پشته شبکه‌ای که ممکن است به آن محدود شود، برساند.”

در کل، این نسخه برای پرداختن به ۶۸ آسیب‌پذیری اجرای کد از راه دور، ۳۱ آسیب‌پذیری افزایش امتیاز، ۲۶ آسیب‌پذیری دور زدن ویژگی امنیتی و شش اشکال انکار سرویس (DOS) قابل توجه است. جالب اینجاست که ۲۴ نقص از ۲۶ نقص دور زدن ویژگی امنیتی مربوط به Secure Boot است.

مهندس تحقیق در Tenable در بیانیه‌ای گفت: “درحالی‌که هیچ‌کدام از این آسیب‌پذیری‌های Secure Boot که در این ماه موردتوجه قرار گرفته‌اند در سطح اینترنت مورد بهره‌برداری قرار نگرفتند، آنها به‌عنوان یادآوری این نکته که این نقص در Secure Boot باقی‌مانده است استفاده می‌کنند و ما می‌توانیم فعالیت‌های مخرب‌تری را دررابطه‌با Secure Boot در آینده مشاهده کنیم.”

این افشاگری در حالی صورت می‌گیرد که مایکروسافت به دلیل شیوه‌های امنیتی خود با انتقاداتی روبرو شده است[۱۲]. گزارش اخیر هیئت بررسی ایمنی سایبری ایالات متحده (CSRB) در سال گذشته این شرکت را به دلیل عدم انجام کافی برای جلوگیری از یک کمپین جاسوسی سایبری به نام Storm-0558 که توسط یک بازیگر تهدید چینی پیگیری شده، متهم کرده است.

همچنین از تصمیم این شرکت برای انتشار داده‌های علت اصلی[۱۳] برای نقص‌های امنیتی با استفاده از استاندارد Common Weakness Enumeration یا CWE پیروی می‌کند. بااین‌حال شایان‌ذکر است که این تغییرات فقط از مشاوره‌هایی که از مارس ۲۰۲۴ منتشر شده‌اند، شروع می‌شود.

Adam Barnett، مهندس نرم‌افزار در Rapid7، در بیانیه‌ای به اشتراک گذاشته شده با هکر نیوز گفت: “افزودن ارزیابی‌های CWE به مشاوره امنیتی مایکروسافت، به مشخص‌کردن علت اصلی آسیب‌پذیری کمک می‌کند.”

“برنامه CWE اخیراً راهنمایی‌های خود را در مورد نقشه‌برداری CVE به یک علت اصلی CWE به‌روز کرده است[۱۴]. تجزیه‌وتحلیل روند CWE می‌تواند به توسعه‌دهندگان کمک کند تا از طریق گردش کار و آزمایش بهبود نرم‌افزار (SDLC) بهبودیافته و همچنین به مدافعان کمک کنند تا از کجا تلاش‌های دفاعی در عمق و استقرار برای بهترین بازده سرمایه‌گذاری را هدایت کنند.”

در یک توسعه مرتبط، شرکت امنیت سایبری Varonis دو روش را که مهاجمان می‌توانند برای دورزدن logهای مربوط به حسابرسی اتخاذ کنند و از تحریک رویدادهای بارگیری درحالی‌که فایل‌ها را از SharePoint استفاده می‌کنند، به‌تفصیل شرح دهند.

رویکرد اول از ویژگی Open in App  در SharePoint برای دسترسی و بارگیری پرونده‌ها استفاده می‌کند، در حالی که رویکرد دوم از عامل کاربر برای Microsoft SkyDrivesync برای بارگیری پرونده‌ها یا حتی کل سایت‌ها استفاده می‌کند درحالی‌که به‌جای بارگیری از رویدادهایی مانند همگام‌سازی فایل، طبقه‌بندی می‌شود.

مایکروسافت که در نوامبر ۲۰۲۳ از این مسائل آگاه شد، هنوز یک رفع مشکل را منتشر نکرده است، اگرچه آنها به برنامه Backlog Patch خود اضافه شده‌اند. در ضمن، به سازمان ها توصیه می شود که از نزدیک گزارش های حسابرسی خود را برای رویدادهای دسترسی مشکوک، به ویژه مواردی که شامل حجم زیادی از بارگیری فایل ها در یک دوره کوتاه است ، نظارت کنند.

Eric Saraga گفت[۱۵]: “این تکنیک‌ها می‌توانند سیاست‌های تشخیص و اجرای ابزارهای سنتی، مانند کارگزاران امنیتی دسترسی به ابر، پیشگیری ازدست‌دادن داده‌ها و SIEMها را با مخفی‌کردن بارگیری‌ها به‌عنوان دسترسی کمتر مشکوک و همگام‌سازی، دور بزنند.”

وصله‌های نرم‌افزاری از سایر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی نیز طی چند هفته گذشته توسط سایر فروشندگان منتشر شده است تا چندین آسیب‌پذیری را اصلاح کنند، از جمله:

 

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr

[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۳] https://apa.aut.ac.ir/?p=10360

[۴] https://thehackernews.com/2023/07/chinese-hackers-deploy-microsoft-signed.html

[۵] https://apa.aut.ac.ir/?p=9376

[۶] https://apa.aut.ac.ir/?p=9314

[۷] https://github.com/3proxy/3proxy

[۸] https://news.sophos.com/en-us/2024/04/09/smoke-and-screen-mirrors-a-strange-signed-backdoor

[۹] https://apa.aut.ac.ir/?p=10289

[۱۰] https://thehackernews.com/2023/11/alert-microsoft-releases-patch-updates.html

[۱۱] https://www.zerodayinitiative.com/blog/2024/4/9/the-april-2024-security-updates-review

[۱۲] https://thehackernews.com/2024/04/us-cyber-safety-board-slams-microsoft.html

[۱۳] https://msrc.microsoft.com/blog/2024/04/toward-greater-transparency-adopting-the-cwe-standard-for-microsoft-cves

[۱۴] https://cwe.mitre.org/news/archives/news2024.html#march22_CWE_Program_Updates_Guidance_for_Root_Cause_Mapping_of_Vulnerabilities

[۱۵] https://www.varonis.com/blog/sidestepping-detection-while-exfiltrating-sharepoint-data

[۱۶] https://thehackernews.com/2024/04/microsoft-fixes-149-flaws-in-huge-april.html