مایکروسافت بهعنوان بخشی از بهروزرسانیهای ماهانهی خود که در تاریخ ۲ مارس ۲۰۲۱ منتشر شد، ۸۹ نقص امنیتی را وصله کرده است[۱]، ازجمله اصلاحاتی برای یک نقص روز صفر مورد بهرهبرداری فعال در اینترنت اکسپلورر که میتواند به یک مهاجم اجازه اجرای کد دلخواه در ماشینهای هدف را بدهد.
از این نقصها، ۱۴ مورد بهعنوان نقصهای بحرانی و ۷۵ مورد با عنوان نقصهای مهم دستهبندیشدهاند، از این تعداد دو مورد از اشکالات بهعنوان منتشرشده بهصورت عمومی توصیفشدهاند، درحالیکه گزارش شده است که پنج مورد دیگر در زمان انتشار موردحملهی فعال قرارگرفتهاند.
در میان این پنج مسئله امنیتی، مجموعهای از آسیبپذیریهای معروف به ProxyLogon (CVE-2021-26855 ، ۲۰۲۱-۲۶۸۵۷ ،CVE-2021-26858 و CVE-2021-27065) است که به دشمنان اجازه میدهد به سرورهای Microsoft Exchange در محیط هدف دسترسی داشته باشند و متعاقباً اجازه نصب دربهای پشتی غیرمجاز مبتنی بر وب را برای تسهیل دسترسی طولانیمدت میدهد[۲].
اما ازآنجاکه سرورهای Exchange که در اواخر ماه فوریه موردحملهی بیرویه گروههای تهدیدی متعددی قرار گرفتند که به دنبال بهرهبرداری از این آسیبپذیریها و ایجاد درهای پشتی در شبکههای سازمانی بودند، مایکروسافت گام غیرمعمولی را برای انتشار وصلهها برداشت و یک هفته زودتر از برنامهریزی خود بهروزرسانیهای موردنظر برای مشکلات مربوط به Exchange را منتشر کرد[۳].
پس از انتشار بهروزرسانیهای مایکروسافت در تاریخ ۲ مارس ۲۰۲۱، افزایش بهرهبرداری گسترده [۴] باعث شده است که این شرکت مجموعه دیگری از بهروزرسانیهای امنیتی[۵] را با هدف بهروزرسانیهای تجمعی قدیمی [۶] و پشتیبانی نشده که در معرض حمله ProxyLogon هستند، به کار گیرد.
همچنین وصلهای برای یک نقص روز صفر در اینترنت اکسپلورر (CVE-2021-26411) نیز در این بسته امنیتی گنجانده شده است که توسط هکرهای کره شمالی مورد بهرهبرداری قرار گرفت تا محققان امنیتی را که در اوایل سال جاری در زمینه تحقیق و توسعه آسیبپذیری کار میکردند، به خطر اندازد[۷].
شرکت امنیت سایبری ENKI کره جنوبی، که این نقص را در اوایل ماه گذشته بهطور علنی فاش کرد[۸]، ادعا کرد که هکرهای دولت کره شمالی تلاشی ناموفق برای هدف قرار دادن محققان امنیتی خود با فایلهای مخرب MHTML انجام دادند که با باز کردن آنها، دو payload از سرور راه دور بارگیری میکردند، یکی که شامل یک نقص روز صفر روی اینترنت اکسپلورر است.
گذشته از این آسیبپذیریهایی که بهطور فعال مورد بهرهبرداری قرار گرفتهاند، تعدادی از نقصهای اجرای کد از راه دور (RCE) در Windows DNS Server (CVE-2021-26897، نمره CVSS 9.8)، سرور Hyper-V (CVE-2021-26867، نمره ۹٫۹ CVSS)، سرورSharePoint (CVE-2021-27076، نمره CVSS 8.8) وAzure Sphere (CVE-2021-27080، نمره CVSS 9.3) نیز وصله شدند.
CVE-2021-26897 به چند دلیل قابلتوجه است. اولازهمه، مایکروسافت این نقص را “بهاحتمالزیاد بهرهبرداری شده” ارزیابی میکند و بهعنوان یک آسیبپذیری با کلیک صفر با پیچیدگی حملهی کم طبقهبندی میشود که نیازی به تعامل کاربر ندارد.
علاوه بر این، این برای دومین بار متوالی است که مایکروسافت به نقص حیاتی RCE در Windows DNS Server رسیدگی میکند. ماه گذشته، این شرکت اصلاحاتی را برای CVE-2021-24078 در همان جزء ارائه داد که در صورت وصله نشدن، به یک طرف غیرمجاز اجازه میدهد کد دلخواه را اجرا کند و بهطور بالقوه ترافیک قانونی را به سمت سرورهای مخرب هدایت کند[۹].
برای نصب آخرین بهروزرسانیهای امنیتی، کاربران ویندوز میتوانند با انتخاب Check for Windows updates بهطور خودکار ویندوز خود را بهروزرسانی کنند.
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar
[۲] https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html
[۳] https://apa.aut.ac.ir/?p=7868
[۴] https://krebsonsecurity.com/2021/03/warning-the-world-of-a-ticking-time-bomb/
[۵] https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020
[۶] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server
[۷] https://thehackernews.com/2021/01/n-korean-hackers-targeting-security.html
[۸] https://thehackernews.com/2021/02/new-chrome-browser-0-day-under-active.html
[۹] https://thehackernews.com/2021/02/microsoft-issues-patches-for-in-wild-0.html
[۱۰] https://thehackernews.com/2021/03/microsoft-exchange-cyber-attack-what-do.html
ثبت ديدگاه