مایکروسافت به‌روزرسانی‌های مناسب برای ۹۶ آسیب‌پذیری را منتشر کرد.

به‌عنوان بخشی از به‌روزرسانی‌های ماه ژوئن، شرکت مایکروسافت وصله‌های امنیتی مربوط به ۹۶ آسیب‌پذیری امنیتی را منتشر کرد که شامل وصله‌های امنیتی مناسب برای ۲ آسیب‌پذیری بود که در سطح اینترنت مورد بهره‌برداری قرار گرفته بودند.

بسته امنیتی ماه ژوئن ۲۰۱۷ مایکروسافت همچنین شامل وصله‌های ضروری برای نسخه‌هایی از ویندوز است که دیگر از طرف مایکروسافت و به‌طور رسمی پشتیبانی نمی‌شوند و ۳ آسیب‌پذیری بهره‌برداری شده را که توسط Shadow Brokers به‌صورت عمومی و در ماه آوریل ۲۰۱۷ در دسترس عموم قرار گرفته بودند را برطرف می‌کنند.

بسته امنیتی ژوئن ۲۰۱۷ که توسط مایکروسافت منتشر شده است[۱] شامل وصله‌هایی برای برطرف کردن نقص‌های اجرای کد از راه دور در ویندوز، آفیس و Edge است که می‌توانند از راه دور و توسط مهاجمان مورد بهره‌برداری قرار گیرند تا کنترل کامل سیستم‌های آسیب‌پذیر را بدون دخالت کاربر در دست گیرند.

از بین آسیب‌پذیری‌های موجود، دو آسیب‌پذیری در حملات انجام شده در سطح اینترنت نیز مورد بهره‌برداری قرار گرفته بودند و بهره‌بردارهای اثبات ادعای سه آسیب‌پذیری دیگر در دسترس عموم قرار گرفته بود و می‌توانست توسط هرکسی برای حمله قرار دادن کاربران ویندوز مورد استفاده قرار گیرد.

آسیب‌پذیری‌هایی که در سطح اینترنت مورد بهره‌برداری قرار گفته‌اند.

دو آسیب‌پذیری در حال حاضر در حال بهره‌برداری در اینترنت هستند که شامل یک نقص اجرای کد از راه دور در قسمت جستجوی ویندوز و به نام CVE-2017-8543 و یک اشکال اجرای کد از راه دور در LNK و به نام CVE-2017-8464 هستند[۲و۳].

آسیب‌پذیری RCE که در بخش جستجوی ویندوز قرار دارد دارای اهمیت بیشتری است و در اکثر نسخه‌های ویندوز وجود دارد و در بخش سرویس‌های جستجوی ویندوز^(۱) قرار دارد که یک ویژگی است که به کاربران اجازه می‌دهد تا در میان چندین سرویس ویندوز و کاربر به جستجو بپردازند.

این آسیب‌پذیری که بهره‌بردار اثبات ادعای آن از اوایل ماه فوریه ۲۰۱۷ به‌صورت عمومی منتشر شد، می‌تواند منجر به اجاری کد از راه دور در سیستم‌عامل‌های ویندوز شود و مهاجم را قادر می‌سازد تا کنترل کامل سیستم مورد هدف را از طریق یک ارتباط شبکه در دست گیرد.

مایکروسافت در گزارشی که منتشر کرده است این‌گونه توضیح می‌دهد: “برای بهره‌برداری از این آسیب‌پذیری، مهاجم می‌تواند پیام‌های SMB دستکاری‌شده خاص را به سرویس جستجوی ویندوز ارسال کند. یک مهاجم که به کامپیوتر هدف دسترسی دارد می‌تواند از این آسیب‌پذیری بهره‌برداری کرده و سطح دسترسی خود را افزایش دهد و کنترل کامپیوتر موردنظر را در دست گیرد. به‌علاوه، در یک سناریوی اجراشده در یک شرکت یا سازمان بزرگ، یک مهاجم غیرمجاز می‌تواند از راه دور این آسیب‌پذیری را از طریق یک ارتباط SMB هدف قرار داده و سپس کنترل کامپیوتر هدف را در دست گیرد.”

آسیب‌پذیری‌های از نوع SMB می‌توانند به‌شدت خطرناک باشند و بهترین مثال آن‌ها باج‌گیر افزار WannaCry است[۴] که یک نقص SMB را در یک شبکه بهره‌برداری کرده تا خودش را بر روی تمامی سیستم‌های وصله نشده با سرعت زیاد کپی کند.

ویندوز سرورهای ۲۰۱۶، ۲۰۱۲، ۲۰۰۸ و همچنین تمامی ویندوزهای نسخه خانگی شامل ویندوز ۱۰، ۸٫۱ و ۷ به این آسیب‌پذیری حساس هستند.

شباهت قابل‌توجه این آسیب‌پذیری با بدافزار Stuxnet

یک عیب حیاتی دیگر که در حال بهره‌برداری در سطح اینترنت است، آسیب‌پذیری اجرای کد از راه دور در LNK است که در روشی که ویندوز میانبرهای^(۲) دسکتاپ LNK را اداره می‌کند قرار دارد. اگر آیکونِ میانبرِ دستکاری‌شده خاص برای کاربر نمایش داده شود، این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور توسط مهاجم شود.

مایکروسافت در ارتباط با این آسیب‌پذیری این‌گونه توضیح می‌دهد: “مهاجم می‌تواند یک درایو قابل‌حمل و یا یک فولدر به اشتراک گذاشته را که شامل فایل LNK مخرب به همراه یک binary مخرب است را برای کاربر نمایش دهد. هنگامی‌که کاربر این درایو یا فایل به اشتراک گذاشته را در ویندوز اکسپلورر یا هر برنامه دیگری که فایل LNK را تجزیه می‌کند، باز می‌کند، binary مخرب کد انتخاب شده توسط مهاجم را بر روی سیستم هدف اجرا می‌کند.”

بر طبق گفته ZDI یک حمله فعال که از آسیب‌پذیری LNK استفاده می‌کند، مشابه بدافزار Stuxnet عمل می‌کند که به سیستم‌های کنترل صنعتی بسیار مهم نفوذ کرد و باعث ایجاد خرابکاری شد.

ZDI در گزارش منتشر شده خود می‌نویسد: “این نوع از آسیب‌پذیری توسط بدافزار Stuxnet مورد استفاده قرار گرفته بود و دوباره چند سال بعدازآن و توسط برنامه ZDI کشف شد.”

همچنین سه آسیب‌پذیری دیگر که اثبات ادعای بهره‌بردارهای آن‌ها به‌صورت عمومی منتشر شده است شامل سه آسیب‌پذیری در مرورگر Edge هستند که دوتای از آن‌ها با نام‌های CVE-2017-8530 و CVE-2017-8523 می‌توانند منجر به دور زدن ویژگی‌های امنیتی شوند و سومین آسیب‌پذیری منجر به افشا شدن اطلاعات می‌شود.

علاوه بر این‌ها، سه وصله امنیتی دیگر برای مرورگر Edge منتشر شده است که آسیب‌پذیری‌های CVE-2017-8496، CVE-2017-8497 و CVE-2017-8499 را برطرف می‌کنند که به مهاجمان اجازه می‌دادند که از راه دور کد دلخواه را بروی سیستم‌های مورد هدف اجرا کنند.

دیگر وصله‌های امنیتی شامل ۹ آسیب‌پذیری دیگر اجرای کد از راه دور در آفیس هستند که توسط فایل‌های DLL، پست‌های الکترونیک، وب‌سایت و یا یک فایل پاورپوینت می‌توانند هدف قرار گیرند.

بسته به‌روزرسانی‌های مربوط به Adobe در ماه ژوئن ۲۰۱۷

در همین حال، شرکت Adobe چندین وصله امنیتی را برای محصولات Flash Player وShockwaye Player ارائه کرد[۵و۶].

این شرکت با ارائه این وصله‌های امنیتی ۹ اشکال حیاتی را در Flash Player برطرف کرد که منجر به اجرای کد از راه دور می‌شدند که پنج تا از آن‌ها به دلیل خرابی حافظه و چهار تای آن‌ها به علت شرایط use-after-free در نرم‌افزار به وجود می‌آمدند.

کاربرانی که از مرورگرهای Chrome، Edge و اینترنت اکسپلورر ۱۱ به بعد استفاده می‌کنند، این به‌روزرسانی‌ها را به‌طور خودکار از تیم‌های امنیتی مایکروسافت و گوگل دریافت می‌کنند و دیگر کاربران باید این وصله‌ها را مستقیماً از سایت Adobe دریافت کنند.

وصله امنیتی منتشر شده برای Shockwave Player یک آسیب‌پذیری اجرای کد از راه دور را برطرف می‌کند که بر روی نسخه‌های بر پایه سیستم‌عامل ویندوز این نرم‌افزار قرار داشت. کاربران باید نسخه ۱۲٫۲٫۹٫۱۹۹ را به‌منظور برطرف کردن این آسیب‌پذیری دانلود کنند.

منابع

[۱] https://technet.microsoft.com/library/security/4025685

[۲]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

[۳]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464

[۴] https://apa.aut.ac.ir/?p=2580

[۵] https://helpx.adobe.com/security/products/flash-player/apsb17-17.html

[۶] https://helpx.adobe.com/security/products/shockwave/apsb17-18.html

[۷] http://thehackernews.com/2017/06/security-patch-tuesday.html

(۱) Windows Search Services (WSS)
(۲) shortcuts