مایکروسافت وصله‌هایی برای چندین آسیب‌پذیری شامل آسیب‌پذیری روز صفر در آفیس و حمله DNS منتشر کرد.

به‌عنوان بخشی از بسته امنیتی منتشرشده در روز سه‌شنبه ۱۰ اکتبر ۲۰۱۷، مایکروسافت بسته بزرگی از آسیب‌‌پذیری‌های امنیتی را که مجموعاً ۶۲ آسیب‌پذیری را در محصولاتش برطرف می‌کرد، منتشر کرد[۱]. این آسیب‌پذیری‌ها شامل یک آسیب‌پذیری روز صفر در آفیس نیز بودند که در سطح اینترنت مورد بهره‌برداری قرار گرفته بود.

این به‌روزرسانی‌های امنیتی همچنین شامل وصله‌هایی برای سیستم‌های دارای سیستم‌عامل ویندوز بودند که شامل برنامه‌های اینترنت اکسپلورر، Microsoft Edge، اسکایپ، Microsoft Lync و Microsoft SharePoint Server هستند.

علاوه بر آسیب‌پذیری‌های مایکروسافت آفیس، این شرکت همچنین دو آسیب‌پذیری فاش شده برای عموم (که البته در سطح اینترنت هنوز مورد بهره‌برداری قرار نگرفته‌اند.) که بر روی SharePoint Server و subsystem ویندوز برای لینوکس تأثیرگذار هستند را نیز وصله کرده است.

بسته ماه اکتبر مایکروسافت همچنین یک آسیب‌پذیری DNS حیاتی که می‌تواند توسط یک سرور DNS مخرب به‌منظور اجرای کد دلخواه بر روی سیستم هدف مورد بهره‌برداری قرار گیرد را نیز وصله کرده است. در ادامه توضیحات فنی مربوط به آسیب‌پذیری‌های مهم و حیاتی برطرف شده توسط مایکروسافت در ماه اکتبر آورده شده است.

آسیب‌پذیری تخریب حافظه در مایکروسافت آفیس (CVE-2017-11826)

این آسیب‌پذیری توسط مایکروسافت در دسته‌بندی آسیب‌پذیری‌های مهم قرار گرفته است و توسط یک مشکل تخریب حافظه به وجود می‌آید. این آسیب‌پذیری بر روی تمامی نسخه‌های آفیس که توسط مایکروسافت پشتیبانی می‌شوند تأثیرگذار است و تاکنون توسط مهاجمان مورد بهره‌برداری قرار گرفته است.

یک مهاجم می‌تواند به دو روش از این آسیب‌پذیری بهره‌برداری کند، روش اول توسط فرستادن یک فایل مایکروسافت آفیسِ دستکاری‌شده برای فرد قربانی و مجاب کردن او برای باز کردن این فایل قابل بهره‌برداری است و روش دوم توسط میزبانی کردن از یک سایت که حاوی فایل‌های دستکاری‌شده است و گول زدن فرد قربانی برای بازدید کردن از این سایت.

هنگامی‌که فایل موردنظر باز شود، کد مخرب موجود بر روی فایل آفیس مخرب با سطح دسترسی‌ای که کاربر با آن وارد سیستم شده است، اجرا می‌شود. بنابراین کاربران که با سطح دسترسی پایین‌تری وارد سیستم خود می‌شوند دارای تأثیرپذیری کمتری هستند نسبت به کاربرانی که با سطح دسترس مدیر وارد سیستم خود می‌شوند.

این آسیب‌پذیری توسط محققان امنیتی در شرکت Qihoo 360 Core Security که در چین قرار دارد به مایکروسافت گزارش داده شده است[۲] و برای اولین بار در یک حمله سایبری در سطح اینترنت تشخیص داده شده بوده است که شامل فایل‌های RTF مخرب بوده و از این آسیب‌پذیری در تاریخ ۲۸ سپتامبر ۲۰۱۷ استفاده کرده است.

آسیب‌پذیری اجرای کد از راه دورِ DNSAPI در مایکروسافت ویندوز (CVE-2017-11779)

در میان دیگر آسیب‌پذیری‌های حیاتی که توسط مایکروسافت رفع شده است، یک نقص مهم اجرای کد از راه دور در سرویس‌گیرنده DNS ویندوز است که بر روی رایانه‌هایی که دارای ویندوز ۸٫۱ و ویندوز ۱۰ و ویندوز سرور ۲۰۱۲ تا ۲۰۱۶ هستند، تأثیر می‌گذارد.

این آسیب‌پذیری می‌تواند توسط یک پاسخ DNS مخرب ایجاد شود که به یک مهاجم اجازه می‌دهد یک کد مخرب دلخواه را بر روی سیستم‌هایی که دارای ویندوز یا ویندوز سرور هستند، اجرا کند.

Nick Freeman که یک محقق امنیتی در شرکت Bishop Fox است این آسیب‌پذیری را کشف کرده است و ثابت کرده است که چگونه یک مهاجم که به یک شبکه Wi-Fi عمومی متصل است می‌تواند یک کد مخرب را بر روی سیستم فرد قربانی اجرا کرده و با افزایش سطح دسترسی، کنترل کامل کامپیوتر یا سرور مورد هدف را در دست گیرد.

محققان دراین‌باره این‌گونه توضیح می‌دهند: “این بدان معنی است که اگر یک مهاجم سرور DNS شما را کنترل کند (برای مثال توسط حمله مردی در میان یا توسط هات‌اسپات مخرب یک کافی‌شاپ)، این مهاجم می‌تواند به سیستم شما نیز دسترسی داشته باشد. این آسیب‌پذیری تنها بر روی مرورگرهای وب تأثیرگذار نیست، چراکه کامپیوتر شما همیشه و در پس‌زمینه در حال تولید query های DNS است و هر query می‌تواند به‌منظور راه‌اندازی این آسیب‌پذیری پاسخ داده شود.

برای دسترسی به جزئیات فنی بیشتر شما می‌توانید ویدیویی[۳] اثبات این آسیب‌پذیری را که توسط مدیرBishop Fox یعنی Dan Petro منتشر شده است، مشاهده کنید[۴].

آسیب‌پذیری DoS در Subsystem ویندوز برای لینوکس (CVE-2017-8703)

این مشکل DoS همچنان یک آسیب‌پذیری قابل‌توجه است که در Subsystem ویندوز برای لینوکس قرار دارد.

این آسیب‌پذیری توسط مایکروسافت به‌عنوان آسیب‌پذیری مهم دسته‌بندی شده است و در گذشته در سطح عموم نیز افشا شده بود اما در سطح اینترنت مورد بهره‌برداری قرار نگرفته بود.

این آسیب‌پذیری می‌تواند به یک مهاجم اجازه دهد تا یک برنامه مخرب را اجرا کند تا یک object را در حافظه تحت تأثیر قرار داده که درنهایت به این برنامه اجازه می‌دهد تا سیستم مورد هدف را دچار crash کند.

تنها سیستم‌عامل ویندوزی که تحت تأثیر این آسیب‌پذیری قرار دارد نسخه ۱۷۰۳ ویندوز ۱۰ است. مایکروسافت دراین‌باره می‌گوید: “این به‌روزرسانی این آسیب‌پذیری را از طریق اصلاح روشی که Subsystem ویندوز برای لینوکس، object ها را در حافظه مدیریت می‌کند، اصلاح شده است.”

آسیب‌پذیری XSS در Microsoft Office SharePoint به نام CVE-2017-11777

یک آسیب‌پذیری دیگر نیز که در گذشته افشا شده بود اما مورد بهره‌برداری توسط مهاجمان قرار نگرفته بود، یک نقص XSS در Microsoft SharePoint Server است که بر روی SharePoint Enterprise Server 2013 Service Pack 1 و SharePoint Enterprise Server 2016 تأثیرگذار است.

این آسیب‌پذیری نیز توسط مایکروسافت در دسته‌بندی مهم قرار داده شده است و می‌تواند توسط فرستادن یک درخواست دستکاری‌شده مخرب به سرور SharePoint مورد بهره‌برداری قرار گیرد.

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به یک مهاجم اجازه دهد تا حملات cross-site scripting را بر روی سیستم‌های تحت تأثیر پیاده‌سازی کند و یک اسکریپت مخرب را بر روی یک context امنیتی از کاربر فعلی اجرا کند.

مایکروسافت دراین‌باره می‌گوید: “این حملات می‌توانند مهاجم را مجاز به خواندن محتوایی کنند که مجاز به خواندن آن نیست و از هویت قربانی استفاده کند تا اقداماتی را در سایت SharePoint از طرف کاربر انجام دهد، مانند مجوز تغییر و حذف محتوا و تزریق محتوای مخرب در مرورگر کاربر.”

علاوه بر این‌ها، این شرکت درمجموع ۱۹ آسیب‌پذیری در موتور اسکریپت در Edge و اینترنت اکسپلورر را برطرف کرده است که می‌تواند به صفحات وب اجازه دهند تا با استفاده از مجوزهای کاربری که وارد سیستم شده است و از طریق نقص‌های تخریب حافظه، به آسیب‌پذیری اجرای کد از راه دور دسترسی داشته باشند.

فقط باز کردن یک صفحه وب به‌طور بالقوه می‌تواند شما را در معرض اجرای بدافزارها، نرم‌افزارهای جاسوسی، باج‌گیر افزارها و دیگر نرم‌افزارهای مخرب در رایانه آسیب‌پذیر قرار دهد.

آسیب‌پذیری‌های RCE و نقص‌های دیگر

Redmond همچنین دو آسیب‌پذیری را در کتابخانه فونت Windows وصله کرد که می‌تواند به یک صفحه وب یا سند اجازه دهد تا کدهای مخرب را بر روی یک ماشین آسیب‌پذیر اجرا کنند و آن را به‌منظور باز کردن یک فایل با یک فونت دستکاری‌شده و یا بازدید از یک وب‌سایت دارای فایل مخرب بدزدد.

این به‌روزرسانی همچنین شامل وصله‌ای برای برطرف کردن یک مشکل در TRIE ویندوز است که CVE-2017-11769 نام‌گذاری شده است و به فایل‌های DLL اجازه می‌دهد تا اجازه اجرای کد از راه دور را داشته باشند، همچنین شامل یک مشکل در برنامه‌نویسی به نام CVE-2017-11776 در Outlook است که پست‌های الکترونیک را باز گذاشته تا از طریق ارتباطات به‌ظاهر ایمن مورد جاسوسی قرار گیرند.

دیگر آسیب‌پذیری‌هایی که در ماه اکتبر ۲۰۱۷ وصله شده‌اند شامل دو نقص اجرای کد از راه دور در Windows Shell و یک مشکل اجرای کد از راه دور در بخش جستجوی ویندوز بودند.

مایکروسافت همچنین در یک گزارش منتشرشده هشدار داده است که یک ویژگی امنیتی دور زده شده است که بر روی سیستم‌عامل ماژول‌های پلتفرم مورداطمینانِ^(۱) Infineon تأثیرگذار است[۵].

البته این جای تعجب است که Adobe Flash دارای هیچ‌گونه وصله امنیتی در این ماه نبوده است.

به کاربران اکیداً توصیه می‌شود تا وصله‌های امنیتی ماه اکتبر ۲۰۱۷ را هر چه زودتر و به‌منظور محافظت در برابر مهاجمان و مجرمان سایبری بر روی کامپیوترهایشان نصب کنند.

به‌منظور نصب کردن به‌روزرسانی‌های امنیتی می‌توانید به‌سادگی به بخش تنظیمات رفته و در قسمت به‌روزرسانی و امنیت بر روی گزینه به‌روزرسانی‌ها کلیک کنید.

منابع

[۱]https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/313ae481-3088-e711-80e2-000d3a32fc99

[۲] https://360coresec.blogspot.in/2017/10/new-office-0day-cve-2017-11826.html

[۳] https://vimeo.com/237454429

[۴]https://www.bishopfox.com/blog/2017/10/a-bug-has-no-name-multiple-heap-buffer-overflows-in-the-windows-dns-client

[۵] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012

[۶] https://thehackernews.com/2017/10/microsoft-security-patches.html

(۱) Trusted Platform Modules (TPMs)