مایکروسافتمایکروسافت چهار نقص امنیتی را برطرف کرده است که بر هوش مصنوعی (AI)، ابر، برنامه‌ریزی منابع سازمانی و Partner Center offering تأثیر می‌گذارد، ازجمله یکی که گفته است در سطح اینترنت مورد بهره‌برداری قرار گرفته است.

این آسیب‌پذیری که با ارزیابی «Exploitation Detected» برچسب‌گذاری شده است، CVE-2024-49035 (امتیاز ۸٫۷ در مقیاس CVSS)، یک نقص افزایش امتیاز در partner.microsoft[.]com است[۱].

این غول فناوری در گزارشی که این هفته منتشر شد، گفت: «یک آسیب‌پذیری کنترل دسترسی نامناسب در partner.microsoft[.]com به یک مهاجم تائید نشده اجازه می‌دهد تا امتیازات شبکه را افزایش دهد.»

مایکروسافت Gautam Peri، Apoorv Wadhwa و یک محقق ناشناس را برای گزارش این نقص اعتبار داد، اما هیچ جزئیاتی در مورد نحوه بهره‌برداری از آن در حملات دنیای واقعی فاش نکرد.

رفع این نقص‌ها به‌عنوان بخشی از به‌روزرسانی‌های نسخه آنلاین Microsoft Power Apps به‌طور خودکار ارائه می‌شوند. همچنین سه آسیب‌پذیری دیگر توسط ردموند موردبررسی قرار گرفته است که دو مورد از آن‌ها به‌عنوان بحرانی و یکی از آن‌ها ازنظر شدت مهم رتبه‌بندی شده‌اند.

  • CVE-2024-49038 (امتیاز ۹٫۳ در CVSS) – یک آسیب‌پذیری بین سایتی اسکریپت (XSS) در استودیوی Copilot که می‌تواند به مهاجم غیرمجاز اجازه دهد امتیازات را در شبکه افزایش دهد[۲].
  • CVE-2024-49052 (امتیاز ۸٫۲ در CVSS) – احراز هویت ازدست‌رفته برای یک آسیب‌پذیری عملکرد حیاتی در Microsoft Azure PolicyWatch که می‌تواند به مهاجم غیرمجاز اجازه دهد امتیازات را در شبکه افزایش دهد[۳].
  • CVE-2024-49053 (امتیاز ۷٫۶ در CVSS) – یک آسیب‌پذیری جعل درMicrosoft Dynamics 365 Sales که می‌تواند به مهاجم احراز هویت شده اجازه دهد تا کاربر را فریب دهد تا روی یک URL ساخته‌شده خاص کلیک کند و احتمالاً قربانی را به یک سایت مخرب هدایت کند[۴].

درحالی‌که بیشتر آسیب‌پذیری‌ها قبلاً کاملاً برطرف شده‌اند و نیازی به اقدام کاربر ندارند، توصیه می‌شود برنامه‌های Dynamics 365 Sales را برای اندروید و iOS به آخرین نسخه (۳٫۲۴۱۰۴٫۱۵) به‌روزرسانی کنید تا در برابر CVE-2024-49053 ایمن شوید.

منابع

[۱] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49035

[۲] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49038

[۳] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49052

[۴] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49053

[۵] https://thehackernews.com/2024/11/microsoft-fixes-ai-cloud-and-erp.html