مایکروسافت روز سهشنبه ۱۲ نوامبر ۲۰۲۴ فاش کرد که دو نقص امنیتی که بر Windows NT LAN Manager (NTLM) و Task Scheduler تأثیر میگذارد[۱]، تحت بهرهبرداری فعال در سطح اینترنت قرارگرفتهاند.
این آسیبپذیریهای امنیتی ازجمله ۹۰ باگ امنیتی[۲] هستند که این غول فناوری بهعنوان بخشی از بهروزرسانی Patch Tuesday برای نوامبر ۲۰۲۴ به آن پرداخته است. از ۹۰ نقص، ۴ مورد بهعنوان بحرانی، ۸۵ مورد بهعنوان مهم و یکی ازلحاظ شدت متوسط رتبهبندی شدهاند. پنجاهودو مورد از آسیبپذیریهای اصلاحشده، نقصهای اجرای کد از راه دور هستند.
این اصلاحات علاوه بر ۳۱ آسیبپذیری[۳] است که مایکروسافت در مرورگر اج مبتنی بر Chromium خود از زمان انتشار بهروزرسانی اکتبر ۲۰۲۴ برطرف کرده است. دو آسیبپذیری که بهعنوان مورد بهرهبرداری فعال فهرست شدهاند در زیر آمدهاند:
- CVE-2024-43451 (امتیاز ۶٫۵ در مقیاس CVSS) – آسیبپذیری جعل افشای هش در Windows NTLM
- CVE-2024-49039 (امتیاز ۸٫۸ در مقیاس CVSS) – آسیبپذیری افزایش امتیاز در Windows Task Scheduler
مایکروسافت در گزارشی برای CVE-2024-43451 گفت: “این آسیبپذیری هش NTLMv2 کاربر را برای مهاجمی که میتواند از آن برای احراز هویت بهعنوان کاربر استفاده کند، فاش میکند.”
شایانذکر است که CVE-2024-43451 سومین نقص بعد از CVE-2024-21410 (در فوریه ۲۰۲۴ وصله شد[۴]) و CVE-2024-38021 (وصله شده در ماه جولای ۲۰۲۴[۵]) است که میتواند برای فاش کردن هش NTLMv2 کاربر استفاده شود و در آن مورد بهرهبرداری قرار گرفته است.
Satnam Narang، مهندس ارشد تحقیقاتی کارکنان در بیانیهای گفت: “مهاجمان همچنان در مورد کشف و بهرهبرداری از آسیبپذیریهای روز صفر که میتوانند هشهای NTLMv2 را فاش کنند، سرسخت هستند، زیرا میتوان از آنها برای احراز هویت به سیستمها استفاده کرد و بهطور بالقوه در یک شبکه برای دسترسی به سیستمهای دیگر حرکت کرد.”
از سوی دیگر، CVE-2024-49039 میتواند به مهاجم اجازه دهد تا توابع RPC را اجرا کند که در غیر این صورت بهحسابهای دارای امتیاز محدود میشوند. بااینحال، مایکروسافت خاطرنشان میکند که بهرهبرداری موفقیتآمیز مستلزم آن است که یک مهاجم احراز هویت شده، برنامهای را روی سیستم هدف اجرا کند تا ابتدا امتیازات خود را به سطح یکپارچگی متوسط برساند.
Vlad Stolyarov و بهاره صبوری از گروه تحلیل تهدیدات گوگل (TAG) و یک محقق ناشناس به دلیل گزارش این آسیبپذیری تائید شدهاند. این احتمال را افزایش میدهد که بهرهبرداری روز صفر از این نقص با برخی گروههای nation-state-aligned یا یک عامل تهدید مداوم پیشرفته (APT) مرتبط باشد.
در حال حاضر هیچ بینشی در مورد نحوه بهرهبرداری از این نقصها در سطح اینترنت یا میزان گسترده بودن این حملات وجود ندارد، اما این توسعه باعث شده است که آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) آنها را به کاتالوگ آسیبپذیریهای شناختهشده بهرهبرداری شده (KEV[6]) اضافه کند[۷].
یکی از نقصهای روز صفر که بهطور عمومی فاش شده، اما هنوز مورد بهرهبرداری قرار نگرفته، CVE-2024-49019 (امتیاز ۷٫۸ در مقیاس CVSS)، یک آسیبپذیری افزایش امتیاز در سرویسهای گواهی اکتیو دایرکتوری است که میتواند برای دریافت امتیازات مدیریت دامنه مورداستفاده قرار گیرد. جزئیات این آسیبپذیری که EKUwu نام دارد، ماه گذشته توسط TrustedSec ثبت شد[۸].
یکی دیگر از آسیبپذیریهای یادداشت CVE-2024-43498 (امتیاز ۹٫۸ در مقیاس CVSS)، یک باگ حیاتی اجرای کد از راه دور در داتنت و ویژوال استودیو است که یک مهاجم بدون احراز هویت از راه دور میتواند با ارسال درخواستهای ساختهشده خاص به یک برنامه وب آسیبپذیر داتنت یا توسط بارگذاری یک فایل ساختهشده خاص در یک برنامه دسکتاپ آسیبپذیر، از آن بهرهبرداری کند..
این بهروزرسانی همچنین یک نقص مهم پروتکل رمزنگاری را که بر Windows Kerberos تأثیر میگذارد (CVE-2024-43639، امتیاز ۹٫۸ در مقیاس CVSS) برطرف میکند. یک مهاجم تأیید نشده میتواند از آن برای اجرای کد از راه دور سوءاستفاده کند.
بالاترین امتیاز آسیبپذیری در نسخه این ماه، نقص اجرای کد از راه دور در Azure CycleCloud (CVE-2024-43602، امتیاز ۹٫۹ در مقیاس CVSS) است که به مهاجمی با مجوزهای اولیه کاربر اجازه میدهد تا امتیازات سطح ریشه را به دست آورد.
Narang گفت: “سهولت بهرهبرداری بهسادگی ارسال یک درخواست به یک خوشه آسیبپذیر AzureCloud CycleCloud بود که پیکربندی آن را تغییر میداد.” ازآنجاییکه سازمانها به سمت استفاده از منابع ابری حرکت میکنند، درنتیجه سطح حمله گستردهتر میشود.
درنهایت، یک CVE غیر صادرشده توسط مایکروسافت که توسط ردموند آدرس داده شده است، یک نقص اجرای کد از راه دور در OpenSSL است (CVE-2024-5535، امتیاز ۹٫۱ در مقیاس CVSS) که در ابتدا توسط نگهبانان OpenSSL در ژوئن ۲۰۲۴ وصله شد[۹].
مایکروسافت میگوید: «استفاده از این آسیبپذیری مستلزم آن است که مهاجم یک پیوند مخرب را از طریق ایمیل برای قربانی ارسال کند، یا اینکه کاربر را متقاعد کند که روی پیوند معمولاً از طریق یک ایمیل یا پیامرسان فوری کلیک کند.»
“در بدترین حالت حمله ایمیل، مهاجم میتواند بدون نیاز به باز کردن، خواندن یا کلیک کردن روی لینک توسط قربانی، ایمیلی را برای کاربر ارسال کند. این میتواند منجر به اجرای کد از راه دور توسط مهاجم در دستگاه قربانی شود.”
همزمان با بهروزرسانی امنیتی نوامبر ۲۰۲۴، مایکروسافت همچنین اعلام کرد که چارچوب مشورتی امنیتی مشترک (CSAF)، یک استاندارد OASIS برای افشای آسیبپذیریها به شکل قابلخواندن توسط ماشین، برای همه CVEها بهمنظور تسریع در پاسخگویی و تلاشهای اصلاحی اتخاذ شده است.
این شرکت گفت[۱۰]: «فایلهای CSAF بیشتر توسط رایانهها مصرف میشوند تا انسانها، بنابراین ما فایلهای CSAF را بهجای جایگزینی به کانالهای دادهای CVE موجود خود اضافه میکنیم». این آغاز سفری برای ادامه افزایش شفافیت در زنجیره تأمین ما و آسیبپذیریهایی است که در کل زنجیره تأمین خود، ازجمله نرمافزار منبع باز تعبیهشده در محصولاتمان، به آنها رسیدگی و برطرف میکنیم.
وصلههای نرمافزاری از سایر فروشندگان
بهغیراز مایکروسافت، بهروزرسانیهای امنیتی نیز توسط سایر فروشندگان در چند هفته گذشته برای اصلاح چندین آسیبپذیری منتشر شده است، ازجمله:
- Adobe
- Amazon Web Services
- AMD
- Apple
- ASUS
- Atlassian
- Bosch
- Broadcom(including VMware)
- Cisco
- Citrix
- CODESYS
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Androidand Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Hikvision
- Hitachi Energy
- HMS Networks
- HP
- HP Enterprise(including Aruba Networking)
- IBM
- Intel
- Ivanti
- Juniper Networks
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- Okta
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- Splunk
- Spring Framework
- Synology
- TP-Link
- Trend Micro
- Veeam
- Veritas
- Zimbra
- Zoom, and
- Zyxel
[۱] https://thehackernews.com/2024/05/windows-11-to-deprecate-ntlm-add-ai.html
[۲] https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
[۳] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۴] https://apa.aut.ac.ir/?p=10303
[۵] https://apa.aut.ac.ir/?p=10566
[۶] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۷] https://www.cisa.gov/news-events/alerts/2024/11/12/cisa-adds-five-known-exploited-vulnerabilities-catalog
[۸] https://trustedsec.com/blog/ekuwu-not-just-another-ad-cs-esc
[۹] https://openssl-library.org/news/secadv/20240627.txt
[۱۰] https://msrc.microsoft.com/blog/2024/11/toward-greater-transparency-publishing-machine-readable-csaf-files
[۱۱] https://thehackernews.com/2024/11/microsoft-fixes-90-new-vulnerabilities.html
ثبت ديدگاه