اصلاح ۶۱ نقص از جمله دو آسیب‌پذیری روز صفر که به طور فعال مورد بهره‌برداری قرار گرفته اند توسط مایکروسافت

مایکروسافت در مجموع ۶۱ نقص امنیتی جدید را در نرم افزارهای خود به عنوان بخشی از به روز رسانی ‌های سه شنبه های خود برای می ۲۰۲۴ برطرف کرده است[۱]، از جمله دو آسیب‌پذیری روز صفر که به طور فعال در سطح اینترنت مورد بهره‌برداری قرار گرفته اند.

از ۶۱ نقص، یکی از آنها به‌عنوان بحرانی، ۵۹ مورد به‌عنوان مهم و یکی از آن‌ها با شدت متوسط رتبه‌بندی شده است. این علاوه بر ۳۰ آسیب‌پذیری[۲] است که طی ماه گذشته در مرورگر اج مبتنی بر کرومیوم برطرف شده است، از جمله دو آسیب‌پذیری روز صفر اخیراً افشا شده ([۳]CVE-2024-4671 و [۴]CVE-2024-4761) که به عنوان بهره‌برداری شده در حملات برچسب‌گذاری شده‌اند.

دو نقص امنیتی که در سطح اینترنت ایجاد شده است در زیر آمده است:

• CVE-2024-30040 (امتیاز ۸/۸ در مقیاس CVSS) – آسیب‌پذیری دور زدن ویژگی امنیتی پلتفرم Windows MSHTML
• CVE-2024-30051 (امتیاز ۸/۷ در مقیاس CVSS) – آسیب‌پذیری افزایش سطح دسترسی در هسته کتابخانه‌یWindows Desktop Window Manager ([5]DWM)

این غول فناوری در گزارشی برای CVE-2024-30040 گفت: “یک مهاجم تایید نشده که با موفقیت از این آسیب‌پذیری بهره‌برداری، می‌تواند از طریق متقاعدکردن کاربر برای باز کردن یک سند مخرب، اجرای کد را به دست آورد که در آن زمان مهاجم می‌تواند کد دلخواه را در متن کاربر اجرا کند.”

بااین‌حال، بهره‌برداری موفقیت‌آمیز مستلزم آن است که مهاجم کاربر را متقاعد کند که یک فایل ساخته‌شده خاص را روی یک سیستم آسیب‌پذیر بارگذاری کند که از طریق ایمیل یا یک پیام فوری توزیع می‌شود و آنها را فریب می‌دهد تا آن را دست‌کاری کنند. جالب اینجاست که قربانی نیازی به کلیک یا باز کردن فایل مخرب برای فعال‌کردن آسیب‌پذیری ندارد.

از سوی دیگر، CVE-2024-30051 می‌تواند به یک عامل تهدید اجازه دهد تا امتیازات SYSTEM را به دست آورد. سه گروه از محققان از Kaspersky، DBAPPSecurity WeBin Lab، Google Threat Analysis Group و Mandiant با کشف و گزارش این نقص اعتبار یافته‌اند که نشان‌دهنده بهره‌برداری گسترده احتمالی است.

Boris Larin و Mert Degirmenci، محققین کسپرسکی می‌گویند[۶]: «ما شاهد استفاده از آن با [۷]QakBot و سایر بدافزارها بوده‌ایم و معتقدیم که چندین عامل تهدید به آن دسترسی دارند.»

هر دو آسیب‌پذیری توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به کاتالوگ آسیب‌پذیری‌های مورد بهره‌برداری شناخته شده ([۸]KEV) اضافه شده‌اند[۹] که سازمان‌های فدرال را ملزم می‌کند تا آخرین اصلاحات را تا ۴ ژوئن ۲۰۲۴ اعمال کنند.

همچنین مایکروسافت چندین باگ اجرای کد از راه دور را حل کرده است، از جمله ۹ باگ که بر درایور پهن باند Windows Mobile و ۷ مورد بر روی مسیریابی ویندوز و سرویس دسترسی از راه دور (RRAS) تأثیر می‌گذارند.

سایر نقص‌های قابل توجه شامل نقص‌های افزایش امتیاز در درایور Common Log File System (CLFS) – CVE-2024-29996، CVE-2024-30025 (امتیازات ۸/۷ در CVSS) وCVE-2024-30037  (امتیازات ۵/۷ در CVSS)، Win32k (CVE-2024-30028 و CVE-2024-30030، امتیازات ۸/۷ در CVSS)، سرویس جستجوی ویندوز (CVE-2024-30033، امتیاز ۰/۷ در CVSS)، و هسته ویندوز (CVE-2024-30018، امتیاز ۸/۷ در مقیاس CVSS) .

در مارس ۲۰۲۴، کسپرسکی فاش کرد[۱۰] که عوامل تهدید در تلاش هستند تا به طور فعال از نقص‌های افزایش امتیازات وصله‌شده در اجزای مختلف ویندوز بهره‌برداری کنند، زیرا «این یک راه بسیار آسان برای دریافت سریع NT AUTHORITY\SYSTEM است».

Akamai بیشتر یک تکنیک افزایش امتیاز جدید را که بر محیط‌های Active Directory (AD) تأثیر می‌گذارد که از گروه مدیران [۱۱]DHCP استفاده می‌کند، تشریح کرده است.

این شرکت خاطرنشان کرد[۱۲]: «در مواردی که نقش سرور DHCP روی یک Domain Controller (DC) نصب می‌شود، این می‌تواند آنها را قادر به کسب امتیازات مدیریت دامنه کند. علاوه بر ارائه اولیه افزایش امتیاز، می‌توان از همین تکنیک برای ایجاد مکانیسم پایداری دامنه مخفی استفاده کرد.»

گرد کردن لیست یک آسیب‌پذیری دورزدن ویژگی امنیتی (CVE-2024-30050، امتیاز ۴/۵ در مقیاس CVSS) است که روی Windows Mark-of-the-Web (MotW) تأثیر می‌گذارد که می‌تواند با استفاده از یک فایل مخرب برای فرار از دفاع مورد بهره‌برداری قرار گیرد.

وصله‌های نرم‌افزاری از سایر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز طی چند هفته گذشته برای اصلاح چندین آسیب‌پذیری منتشر شده است، از جمله:

• Adobe
• Android
• Apple
• Arm
• ASUS
• Atos
• Broadcom(including VMware)
• Cacti
• Cisco
• Citrix
• CODESYS
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Chrome
• Google Cloud
• Google Wear OS
• Hikvision
• Hitachi Energy
• HP
• HP Enterprise
• HP Enterprise Aruba Networks
• IBM
• Intel
• Jenkins
• Juniper Networks
• Lenovo
• Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
• MediaTek
• Mitsubishi Electric
• MongoDB
• Mozilla Thunderbird
• NVIDIA
• ownCloud
• Palo Alto Networks
• Progress Software
• QNAP
• Qualcomm
• Rockwell Automation
• Samsung
• SAP
• Schneider Electric
• Siemens
• SolarWinds
• SonicWall
• Tinyproxy
• Veeam
• Veritas
• Zimbra
• Zoom, and
• Zyxel

 

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2024-May

[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۳] https://apa.aut.ac.ir/?p=10445

[۴] https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-cve.html

[۵] https://en.wikipedia.org/wiki/Desktop_Window_Manager

[۶] https://securelist.com/cve-2024-30051/112618

[۷] https://thehackernews.com/2023/12/qakbot-malware-resurfaces-with-new.html

[۸] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۹] https://www.cisa.gov/news-events/alerts/2024/05/14/cisa-adds-two-known-exploited-vulnerabilities-catalog

[۱۰] https://securelist.com/windows-vulnerabilities/112232

[۱۱] https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups#dhcp-administrators

[۱۲] https://www.akamai.com/blog/security-research/abusing-dhcp-administrators-group-for-privilege-escalation-in-windows-domains

[۱۳] https://thehackernews.com/2024/05/microsoft-patches-61-flaws-including.html