وصله کردن ۱۴۳ نقص ازجمله دو مورد بهره‌برداری فعال توسط به‌روزرسانی ژوئیه مایکروسافت

مایکروسافت وصله‌هایی را برای رفع ۱۴۳ نقص امنیتی[۱] به‌عنوان بخشی از به‌روزرسانی‌های امنیتی ماهانه خود منتشر کرده است که دو مورد از آن‌ها در سطح اینترنت مورد بهره‌برداری فعال قرارگرفته‌اند.

از مجموع ۱۴۳ نقص، پنج مورد به‌عنوان بحرانی، ۱۳۶ مورد به‌عنوان مهم و چهار مورد ازنظر شدت متوسط ​​رتبه‌بندی شده‌اند. این اصلاحات علاوه بر ۳۳ آسیب‌پذیری[۲] است که طی ماه گذشته در مرورگر اج مبتنی بر Chromium برطرف شده است.

دو نقص امنیتی که مورد بهره‌برداری قرارگرفته‌اند به شرح زیر است –

• [۳]CVE-2024-38080 (امتیاز ۸/۷ در مقیاس CVSS) – Windows Hyper-V Elevation of Privilege Vulnerability
• CVE-2024-38112[4] (امتیاز ۵/۷ در مقیاس CVSS) – آسیب‌پذیری جعل پلت فرم Windows MSHTML

مایکروسافت در مورد CVE-2024-38112 گفت: «استفاده موفقیت‌آمیز از این آسیب‌پذیری مستلزم آن است که مهاجم اقدامات بیشتری را قبل از بهره‌برداری برای آماده‌سازی محیط هدف انجام دهد. یک مهاجم باید فایل مخربی را برای قربانی ارسال کند که قربانی باید آن را اجرا کند.»

Haifei Li، محقق امنیتی Check Point، که این نقص را در  می ۲۰۲۴ کشف و گزارش کرد، گفت که عوامل تهدید از فایل‌های میانبر اینترنت ویندوز به‌طور خاص ساخته‌شده (URL) استفاده می‌کنند که با کلیک کردن و فراخوانی مرورگر بازنشسته اینترنت اکسپلورر (IE)، قربانیان را به یک URL مخرب هدایت می‌کنند.

Li توضیح داد[۵]: «یک ترفند اضافی در اینترنت اکسپلورر برای مخفی کردن نام برنامه افزودنی HTA مخرب استفاده می‌شود. با باز کردن URL با IE به‌جای مرورگر مدرن و بسیار ایمن‌تر Chrome/Edge در ویندوز، مهاجم مزایای قابل‌توجهی در بهره‌برداری از رایانه قربانی به دست آورد، اگرچه رایانه از سیستم‌عامل مدرن ویندوز ۱۰/۱۱ استفاده می‌کند.»

مصنوعاتی که از این تکنیک حمله استفاده می‌کنند[۶] در اوایل ژانویه ۲۰۲۳ در پلتفرم اسکن بدافزار VirusTotal آپلود شده‌اند[۷]، که نشان می‌دهد عوامل تهدید بیش از ۵/۱ سال است که از این شکاف آگاه بوده‌اند.

Check Point به هکر نیوز گفت که مشاهده کرده است که از نمونه‌های URL برای ارائه یک سارق اطلاعات به نام Atlantida استفاده می‌شود که توسط Rapid7 در اوایل سال جاری به‌عنوان بدافزاری که امکان سرقت اعتبارنامه‌های ورود، داده‌های کیف پول ارزهای دیجیتال، عکس‌های صفحه‌نمایش و داده‌های سخت‌افزاری و اطلاعات ذخیره‌شده در مرورگرهای وب را امکان‌پذیر می‌کند، ثبت‌شده است[۸].

گفته می‌شود که این کمپین بدافزار دزد که عمدتاً کاربران ترکیه و ویتنام را در اواسط ماه مه ۲۰۲۴ شناسایی می‌کرد، از سایت‌های وردپرس در معرض خطر سوءاستفاده کرده است تا از طریق برنامه HTML (.HTA) و فایل‌های PowerShell حملاتی را انجام دهد تا Atlántida را به میزبان‌های قربانی تحویل دهد.

یافته‌های اولیه از Check Point نشان می‌دهد که حداقل دو گروه تهدید احتمالی متفاوت از CVE-2024-38112 در کمپین‌های هم‌زمان به‌عنوان بخشی ازآنچه گمان می‌رود عملیاتی باانگیزه مالی است، بهره‌برداری می‌کنند.

این شرکت گفت: «ما دیدیم که یک شرکت سازنده چیپست و شرکتی که محصولاتی را برای طراحی بهتر توسعه می‌دهد [هدف قرار گرفتند]». هر دو شرکت‌های فناوری پیشرفته هستند که می‌توانند پیشنهاد حمله زنجیره تأمین یا علاقه به محصول را داشته باشند.

Satnam Narang، مهندس ارشد تحقیقاتی کارکنان در Tenable، گفت: CVE-2024-38080 یک نقص برتر در ویندوز Hyper-V است. یک مهاجم محلی و تائید شده می‌تواند از این آسیب‌پذیری برای بالا بردن امتیازات به سطح SYSTEM پس از به خطر انداختن اولیه یک سیستم هدفمند سوءاستفاده کند.

درحالی‌که مشخصات دقیق مربوط به سوءاستفاده از CVE-2024-38080 در حال حاضر ناشناخته است، Narang خاطرنشان کرد که این اولین نقص از ۴۴ نقص Hyper-V است که از سال ۲۰۲۲ در سطح اینترنت مورد بهره‌برداری قرار گرفته است.

دو نقص امنیتی دیگر که توسط مایکروسافت وصله شده‌اند، در زمان انتشار به‌عنوان عمومی شناخته‌شده‌اند. این شامل یک حمله کانال جانبی به نام FetchBench (CVE-2024-37985، امتیاز ۹/۵ در مقیاس CVSS) است[۹] که می‌تواند دشمن را قادر می‌سازد تا حافظه پشته را از یک فرآیند ممتاز که در سیستم‌های مبتنی بر Arm اجرا می‌شود، مشاهده کند.

دومین آسیب‌پذیری موردبحث، CVE-2024-35264 (امتیاز ۱/۸ در مقیاس CVSS) است[۱۰]، یک اشکال اجرای کد از راه دور که دات‌نت و ویژوال استودیو را تحت تأثیر قرار می‌دهد.

ردموند در گزارشی گفت: “یک مهاجم می‌تواند با بستن یک جریان http/3 از این مورد بهره‌برداری کند، درحالی‌که بدنه درخواست در حال پردازش است و منجر به race condition می‌شود. این می‌تواند منجر به اجرای کد از راه دور شود.”

همچنین به‌عنوان بخشی از به‌روزرسانی‌های Patch Tuesday، ۳۷ نقص اجرای کد از راه دور که بر ارائه‌دهنده OLE DB Native Client SQL Server، ۲۰ آسیب‌پذیری دور زدن ویژگی امنیتی Secure Boot، سه اشکال تشدید امتیازات PowerShell و یک آسیب‌پذیری جعل در پروتکل RADIUS2 (RADIUS2) رفع شده است (RADIUS24C) CVE-2024-3596[11] با نام مستعار BlastRADIUS).

Greg Wiseman، مدیر محصول اصلی Rapid7 گفت: «[نقص‌های SQL Server] به‌طور خاص بر ارائه‌دهنده OLE DB تأثیر می‌گذارد، بنابراین نه‌تنها نمونه‌های SQL Server نیاز به به‌روزرسانی دارند، بلکه کد کلاینت که نسخه‌های آسیب‌پذیر درایور اتصال را اجرا می‌کند نیز باید برطرف شود».

برای مثال، یک مهاجم می‌تواند از تاکتیک‌های مهندسی اجتماعی استفاده کند تا یک کاربر احراز هویت شده را فریب دهد تا به یک پایگاه داده SQL Server متصل شود که برای بازگرداندن داده‌های مخرب پیکربندی‌شده است و امکان اجرای کد دلخواه بر روی کلاینت را فراهم می‌کند.

همچنین آسیب‌پذیری CVE-2024-38021 (امتیاز ۸/۸ در مقیاس CVSS)، یک نقص اجرای کد از راه دور در مایکروسافت آفیس است[۱۲] که اگر با موفقیت مورد بهره‌برداری قرار گیرد، به مهاجم اجازه می‌دهد تا امتیازات بالایی ازجمله خواندن، نوشتن و حذف را به دست آورد.

Morphisec که این نقص را در اواخر آوریل ۲۰۲۴ به مایکروسافت گزارش کرد، گفت که این آسیب‌پذیری نیازی به احراز هویت ندارد و به دلیل ماهیت کلیک صفر آن، خطری جدی ایجاد می‌کند.

Michael Gorelik می‌گوید[۱۳]: مهاجمان می‌توانند از این آسیب‌پذیری برای دستیابی به دسترسی غیرمجاز، اجرای کد دلخواه و ایجاد آسیب‌های اساسی بدون هیچ‌گونه تعامل با کاربر استفاده کنند. فقدان الزامات احراز هویت آن را به‌ویژه خطرناک می‌کند، زیرا دری را برای بهره‌برداری گسترده باز می‌کند.

این اصلاحات در حالی صورت می‌گیرد که مایکروسافت اواخر ماه گذشته اعلام کرد[۱۴] که در تلاش برای بهبود شفافیت، شروع به صدور شناسه‌های CVE برای آسیب‌پذیری‌های امنیتی مرتبط با ابر خواهد کرد.

وصله‌های نرم‌افزاری از سایر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب‌پذیری منتشرشده است، ازجمله:

• Adobe
• Amazon Web Services
• AMD
• Apple
• Arm
• Broadcom (including VMware)
• Cisco
• Citrix
• CODESYS
• D-Link
• Dell
• Drupal
• Emerson
• F5
• Fortinet
• Fortra FileCatalyst Workflow
• GitLab
• Google Android
• Google Chrome
• Google Cloud
• Google Pixel
• Google Wear OS
• Hitachi Energy
• HP
• HP Enterprise
• IBM
• Ivanti
• Jenkins
• Juniper Networks
• Lenovo
• Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
• MediaTek
• Mitsubishi Electric
• MongoDB
• Mozilla Firefox and Firefox ESR
• NETGEAR
• NVIDIA
• OpenSSH
• Progress Software
• QNAP
• Qualcomm
• Rockwell Automation
• Samsung
• SAP
• Schneider Electric
• Siemens
• Splunk
• Spring Framework
• TP-Link
• Veritas
• WordPress, and
• Zoom

 

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۳] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38080

[۴] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112

[۵] https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112

[۶] https://www.virustotal.com/gui/file/c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae

[۷] https://www.virustotal.com/gui/file/bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0

[۸] https://www.rapid7.com/blog/post/2024/01/17/whispers-of-atlantida-safeguarding-your-digital-treasure

[۹] https://dl.acm.org/doi/10.1145/3576915.3623124

[۱۰] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35264

[۱۱] https://thehackernews.com/2024/07/radius-protocol-vulnerability-exposes.html

[۱۲] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38021

[۱۳] https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability

[۱۴] https://msrc.microsoft.com/blog/2024/06/toward-greater-transparency-unveiling-cloud-service-cves

[۱۵] https://thehackernews.com/2024/07/microsofts-july-update-patches-143.html