مایکروسافت روز سهشنبه ۱۱ ژانویه ۲۰۲۲ اولین مجموعه بهروزرسانیهای خود را برای سال ۲۰۲۲ با برطرف کردن ۹۶ حفره امنیتی[۱] در اکوسیستم نرمافزاری خود آغاز کرد، درحالیکه از مشتریان میخواست برای آنچه آسیبپذیری Wormable بحرانی مینامد، اولویت اصلاح مدنظر قرار دهند.
از ۹۶ آسیبپذیری، ۹ آسیبپذیری بحرانی و ۸۹ آسیبپذیری ازنظر شدت در دستهبندی مهم رتبهبندی شدهاند، که شش آسیبپذیری روز صفر بهطور عمومی در زمان انتشار شناخته شدهاند. اینها علاوه بر ۲۹ مشکلی[۲] است که در Microsoft Edge در ۶ ژانویه ۲۰۲۲ وصله شدهاند.
این وصلهها بخشهایی از نرمافزارهای مایکروسافت شامل Microsoft Windows و Windows Components، Exchange Server، Microsoft Office and Office Components، SharePoint Server، .NET Framework، Microsoft Dynamics، Open-Source Software، Windows Hyper-V، Windows Defender و Windows Remote Desktop Protocol (RDP) هستند.
مهمترین آنها یعنی آسیبپذیری CVE-2022-21907 (با امتیاز ۹٫۸ در مقیاس CVSS)، یک آسیبپذیری[۳] اجرای کد از راه دور است که ریشه در Stack پروتکل HTTP دارد. مایکروسافت در گزارش خود خاطرنشان کرد: “در اکثر شرایط، یک مهاجم احراز هویت نشده میتواند بستهای را به سرور هدفمندی که از Stack پروتکل HTTP (http.sys) برای پردازش بستهها استفاده میکند، ارسال کند.”
یک محقق امنیتی روسی یعنی Mikhail Medvedev، مسئول کشف و گزارش این خطا است، مایکروسافت تأکید کرده است که این خطا Wormable است، به این معنی که هیچ تعاملی با کاربر برای ایجاد و انتشار آلودگی لازم نیست.
Danny Kim، معمار اصلی Virsec دراینباره گفت: “اگرچه مایکروسافت یک وصله رسمی ارائه کرده است، این CVE یادآور دیگری است که ویژگیهای یک نرمافزار فرصتهایی را برای مهاجمان فراهم میکند تا از عملکردها برای اعمال فعالیتهای مخرب سوءاستفاده کنند.”
مایکروسافت همچنین شش آسیبپذیری روز صفر را بهعنوان بخشی از بهروزرسانیهای سهشنبههای اول هر ماهِ خود وصله کرد، که دو مورد از آنها ادغامی از اصلاحات شخص ثالث در مورد کتابخانههای منبع باز curl و libarchive هستند.
CVE-2021-22947 (امتیاز نامشخص در CVSS): آسیبپذیری اجرای کد از راه دور curl منبع باز
CVE-2021-36976 (امتیاز نامشخص در CVSS): آسیبپذیری اجرای کد از راه دور libarchive منبع باز
CVE-2022-21836 (امتیاز ۷٫۸ در مقیاس CVSS): آسیبپذیری جعل گواهی ویندوز
CVE-2022-21839 (امتیاز ۶٫۱ در مقیاس CVSS): آسیبپذیری Denial of Service در Windows Event Tracing Discretionary Access Control List
CVE-2022-21874 (امتیاز ۷٫۸ در مقیاس CVSS): آسیبپذیری اجرای کد از راه دور API Windows Security Center
CVE-2022-21919 (امتیاز ۷٫۰ در مقیاس CVSS): آسیبپذیری افزایش سطح دسترسی در سرویسUser Profile ویندوز
یکی دیگر از آسیبپذیریهای حیاتی مربوط به نقص[۴] اجرای کد از راه دور (CVE-2022-21849 با امتیاز ۹٫۸ در CVSS) در Windows Internet Key Exchange (IKE) نسخه ۲ است[۵]، که مایکروسافت میگوید میتواند توسط یک مهاجم از راه دور برای ایجاد چندین آسیبپذیری بدون احراز هویت مسلح شود و مورداستفاده قرار گیرد.
علاوه بر این، این وصله همچنین تعدادی از نقصهای اجرای کد از راه دور را که بر Exchange Server، Microsoft Office (CVE-2022-21840)، SharePoint Server، RDP، و Windows Resilient File System و همچنین آسیبپذیریهای افزایش امتیاز در سرویسهای Active Directory Domain، کنترل حسابهای ویندوز، Windows Cleanup Manager و Windows Kerberos تأثیر میگذارند[۶و۷]، اصلاح میکند.
شایانذکر است که CVE-2022-21907 و سه نقص کشفشده در Exchange Server (CVE-2022-21846، CVE-2022-21855، و CVE-2022-21969، با امتیازات ۹ در مقیاس CVSS) همگی بهعنوان “قابل بهرهبرداری” برچسبگذاری شدهاند. بهاحتمالزیاد، این امر ضروری است که این وصلهها فوراً برای مقابله با حملات بالقوه دنیای واقعی که نقاط ضعف را هدف قرار میدهند، اعمال شوند[۸-۱۱]. آژانس امنیت ملی ایالاتمتحده (NSA) آسیبپذیری CVE-2022-21846 را مهم توصیف کرده است.
Bharat Jogi، مدیر تحقیقات آسیبپذیری و تهدید در Qualys، دراینباره گفت: «این وصلهی عظیم در زمان هرجومرج در صنعت امنیت رخ میدهد که در آن متخصصان برای اصلاح Log4Shell بهطور اضافه وقت کار میکنند[۱۲]، که طبق گزارشها بدترین آسیبپذیری دیدهشده در دهههای اخیر است».
وصلههای نرمافزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز برای اصلاح چندین آسیبپذیری منتشر شده است:
- Adobe
- Android
- Cisco
- Citrix
- Google Chrome
- Linux distributions Oracle Linux, Red Hat, and SUSE
- Mozilla Firefox, Firefox ESR, and Thunderbird
- Samba
- SAP
- Schneider Electric
- Siemens
- VMware, and WordPress
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan
[۲] https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۳] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
[۳] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21849
[۴] https://en.wikipedia.org/wiki/Internet_Key_Exchange
[۵] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21840
[۶] https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside
[۷] https://thehackernews.com/2021/03/microsoft-exchange-cyber-attack-what-do.html
[۸] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21846
[۹] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21855
[۱۰] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21969
[۱۱] https://apa.aut.ac.ir/?p=8600
[۱۲] https://cymulate.com/log4j-resilience-assessment
[۱۳] https://thehackernews.com/2022/01/first-patch-tuesday-of-2022-brings-fix.html
ثبت ديدگاه