مایکروسافت وصلههایی را برای رفع ۱۴۳ نقص امنیتی[۱] بهعنوان بخشی از بهروزرسانیهای امنیتی ماهانه خود منتشر کرده است که دو مورد از آنها در سطح اینترنت مورد بهرهبرداری فعال قرارگرفتهاند.
از مجموع ۱۴۳ نقص، پنج مورد بهعنوان بحرانی، ۱۳۶ مورد بهعنوان مهم و چهار مورد ازنظر شدت متوسط رتبهبندی شدهاند. این اصلاحات علاوه بر ۳۳ آسیبپذیری[۲] است که طی ماه گذشته در مرورگر اج مبتنی بر Chromium برطرف شده است.
دو نقص امنیتی که مورد بهرهبرداری قرارگرفتهاند به شرح زیر است –
- [۳]CVE-2024-38080 (امتیاز ۸/۷ در مقیاس CVSS) – Windows Hyper-V Elevation of Privilege Vulnerability
- CVE-2024-38112[4] (امتیاز ۵/۷ در مقیاس CVSS) – آسیبپذیری جعل پلت فرم Windows MSHTML
مایکروسافت در مورد CVE-2024-38112 گفت: «استفاده موفقیتآمیز از این آسیبپذیری مستلزم آن است که مهاجم اقدامات بیشتری را قبل از بهرهبرداری برای آمادهسازی محیط هدف انجام دهد. یک مهاجم باید فایل مخربی را برای قربانی ارسال کند که قربانی باید آن را اجرا کند.»
Haifei Li، محقق امنیتی Check Point، که این نقص را در می ۲۰۲۴ کشف و گزارش کرد، گفت که عوامل تهدید از فایلهای میانبر اینترنت ویندوز بهطور خاص ساختهشده (URL) استفاده میکنند که با کلیک کردن و فراخوانی مرورگر بازنشسته اینترنت اکسپلورر (IE)، قربانیان را به یک URL مخرب هدایت میکنند.
Li توضیح داد[۵]: «یک ترفند اضافی در اینترنت اکسپلورر برای مخفی کردن نام برنامه افزودنی HTA مخرب استفاده میشود. با باز کردن URL با IE بهجای مرورگر مدرن و بسیار ایمنتر Chrome/Edge در ویندوز، مهاجم مزایای قابلتوجهی در بهرهبرداری از رایانه قربانی به دست آورد، اگرچه رایانه از سیستمعامل مدرن ویندوز ۱۰/۱۱ استفاده میکند.»
مصنوعاتی که از این تکنیک حمله استفاده میکنند[۶] در اوایل ژانویه ۲۰۲۳ در پلتفرم اسکن بدافزار VirusTotal آپلود شدهاند[۷]، که نشان میدهد عوامل تهدید بیش از ۵/۱ سال است که از این شکاف آگاه بودهاند.
Check Point به هکر نیوز گفت که مشاهده کرده است که از نمونههای URL برای ارائه یک سارق اطلاعات به نام Atlantida استفاده میشود که توسط Rapid7 در اوایل سال جاری بهعنوان بدافزاری که امکان سرقت اعتبارنامههای ورود، دادههای کیف پول ارزهای دیجیتال، عکسهای صفحهنمایش و دادههای سختافزاری و اطلاعات ذخیرهشده در مرورگرهای وب را امکانپذیر میکند، ثبتشده است[۸].
گفته میشود که این کمپین بدافزار دزد که عمدتاً کاربران ترکیه و ویتنام را در اواسط ماه مه ۲۰۲۴ شناسایی میکرد، از سایتهای وردپرس در معرض خطر سوءاستفاده کرده است تا از طریق برنامه HTML (.HTA) و فایلهای PowerShell حملاتی را انجام دهد تا Atlántida را به میزبانهای قربانی تحویل دهد.
یافتههای اولیه از Check Point نشان میدهد که حداقل دو گروه تهدید احتمالی متفاوت از CVE-2024-38112 در کمپینهای همزمان بهعنوان بخشی ازآنچه گمان میرود عملیاتی باانگیزه مالی است، بهرهبرداری میکنند.
این شرکت گفت: «ما دیدیم که یک شرکت سازنده چیپست و شرکتی که محصولاتی را برای طراحی بهتر توسعه میدهد [هدف قرار گرفتند]». هر دو شرکتهای فناوری پیشرفته هستند که میتوانند پیشنهاد حمله زنجیره تأمین یا علاقه به محصول را داشته باشند.
Satnam Narang، مهندس ارشد تحقیقاتی کارکنان در Tenable، گفت: CVE-2024-38080 یک نقص برتر در ویندوز Hyper-V است. یک مهاجم محلی و تائید شده میتواند از این آسیبپذیری برای بالا بردن امتیازات به سطح SYSTEM پس از به خطر انداختن اولیه یک سیستم هدفمند سوءاستفاده کند.
درحالیکه مشخصات دقیق مربوط به سوءاستفاده از CVE-2024-38080 در حال حاضر ناشناخته است، Narang خاطرنشان کرد که این اولین نقص از ۴۴ نقص Hyper-V است که از سال ۲۰۲۲ در سطح اینترنت مورد بهرهبرداری قرار گرفته است.
دو نقص امنیتی دیگر که توسط مایکروسافت وصله شدهاند، در زمان انتشار بهعنوان عمومی شناختهشدهاند. این شامل یک حمله کانال جانبی به نام FetchBench (CVE-2024-37985، امتیاز ۹/۵ در مقیاس CVSS) است[۹] که میتواند دشمن را قادر میسازد تا حافظه پشته را از یک فرآیند ممتاز که در سیستمهای مبتنی بر Arm اجرا میشود، مشاهده کند.
دومین آسیبپذیری موردبحث، CVE-2024-35264 (امتیاز ۱/۸ در مقیاس CVSS) است[۱۰]، یک اشکال اجرای کد از راه دور که داتنت و ویژوال استودیو را تحت تأثیر قرار میدهد.
ردموند در گزارشی گفت: “یک مهاجم میتواند با بستن یک جریان http/3 از این مورد بهرهبرداری کند، درحالیکه بدنه درخواست در حال پردازش است و منجر به race condition میشود. این میتواند منجر به اجرای کد از راه دور شود.”
همچنین بهعنوان بخشی از بهروزرسانیهای Patch Tuesday، ۳۷ نقص اجرای کد از راه دور که بر ارائهدهنده OLE DB Native Client SQL Server، ۲۰ آسیبپذیری دور زدن ویژگی امنیتی Secure Boot، سه اشکال تشدید امتیازات PowerShell و یک آسیبپذیری جعل در پروتکل RADIUS2 (RADIUS2) رفع شده است (RADIUS24C) CVE-2024-3596[11] با نام مستعار BlastRADIUS).
Greg Wiseman، مدیر محصول اصلی Rapid7 گفت: «[نقصهای SQL Server] بهطور خاص بر ارائهدهنده OLE DB تأثیر میگذارد، بنابراین نهتنها نمونههای SQL Server نیاز به بهروزرسانی دارند، بلکه کد کلاینت که نسخههای آسیبپذیر درایور اتصال را اجرا میکند نیز باید برطرف شود».
برای مثال، یک مهاجم میتواند از تاکتیکهای مهندسی اجتماعی استفاده کند تا یک کاربر احراز هویت شده را فریب دهد تا به یک پایگاه داده SQL Server متصل شود که برای بازگرداندن دادههای مخرب پیکربندیشده است و امکان اجرای کد دلخواه بر روی کلاینت را فراهم میکند.
همچنین آسیبپذیری CVE-2024-38021 (امتیاز ۸/۸ در مقیاس CVSS)، یک نقص اجرای کد از راه دور در مایکروسافت آفیس است[۱۲] که اگر با موفقیت مورد بهرهبرداری قرار گیرد، به مهاجم اجازه میدهد تا امتیازات بالایی ازجمله خواندن، نوشتن و حذف را به دست آورد.
Morphisec که این نقص را در اواخر آوریل ۲۰۲۴ به مایکروسافت گزارش کرد، گفت که این آسیبپذیری نیازی به احراز هویت ندارد و به دلیل ماهیت کلیک صفر آن، خطری جدی ایجاد میکند.
Michael Gorelik میگوید[۱۳]: مهاجمان میتوانند از این آسیبپذیری برای دستیابی به دسترسی غیرمجاز، اجرای کد دلخواه و ایجاد آسیبهای اساسی بدون هیچگونه تعامل با کاربر استفاده کنند. فقدان الزامات احراز هویت آن را بهویژه خطرناک میکند، زیرا دری را برای بهرهبرداری گسترده باز میکند.
این اصلاحات در حالی صورت میگیرد که مایکروسافت اواخر ماه گذشته اعلام کرد[۱۴] که در تلاش برای بهبود شفافیت، شروع به صدور شناسههای CVE برای آسیبپذیریهای امنیتی مرتبط با ابر خواهد کرد.
وصلههای نرمافزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیبپذیری منتشرشده است، ازجمله:
- Adobe
- Amazon Web Services
- AMD
- Apple
- Arm
- Broadcom (including VMware)
- Cisco
- Citrix
- CODESYS
- D-Link
- Dell
- Drupal
- Emerson
- F5
- Fortinet
- Fortra FileCatalyst Workflow
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Google Pixel
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise
- IBM
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox and Firefox ESR
- NETGEAR
- NVIDIA
- OpenSSH
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Spring Framework
- TP-Link
- Veritas
- WordPress, and
- Zoom
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۳] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38080
[۴] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
[۵] https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112
[۶] https://www.virustotal.com/gui/file/c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae
[۷] https://www.virustotal.com/gui/file/bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0
[۸] https://www.rapid7.com/blog/post/2024/01/17/whispers-of-atlantida-safeguarding-your-digital-treasure
[۹] https://dl.acm.org/doi/10.1145/3576915.3623124
[۱۰] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35264
[۱۱] https://thehackernews.com/2024/07/radius-protocol-vulnerability-exposes.html
[۱۲] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38021
[۱۳] https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability
[۱۴] https://msrc.microsoft.com/blog/2024/06/toward-greater-transparency-unveiling-cloud-service-cves
[۱۵] https://thehackernews.com/2024/07/microsofts-july-update-patches-143.html
ثبت ديدگاه