انتشار به‌روزرسانی‌های فوریه ۲۰۲۲ توسط مایکروسافت و سایر شرکت‌های بزرگ نرم‌افزاری

مایکروسافت روز سه‌شنبه ۸ فوریه ۲۰۲۲ به‌روزرسانی‌های امنیتی ماهانه خود را با رفع ۵۱ آسیب‌پذیری در سری نرم‌افزارهای خود شامل Windows، Office، Teams، Azure Data Explorer، Visual Studio Code و سایر مؤلفه‌ها مانند Kernel و Win32k منتشر کرد[۱].

از میان ۵۱ نقص وصله شده، ۵۰ مورد به‌عنوان مهم و یکی از آن‌ها با شدت متوسط ​​رتبه‌بندی می‌شوند، که آن را به یکی از به‌روزرسانی‌های نادر سه‌شنبه‌ها بدون هیچ‌گونه اصلاحی برای آسیب‌پذیری‌های دارای رتبه بحرانی تبدیل می‌کند. این همچنین علاوه بر ۱۹ نقص دیگر[۲] است که این شرکت در مرورگر Edge مبتنی بر Chromium خود برطرف کرده است.

هیچ‌یک از آسیب‌پذیری‌های امنیتی تحت بهره‌برداری فعال فهرست نشده‌اند، درحالی‌که نقص‌ CVE-2022-21989 (امتیاز ۷٫۸ در مقیاس CVSS) در زمان انتشار به‌عنوان آسیب‌پذیری روز صفر افشاشده عمومی طبقه‌بندی‌شده است. این مشکل مربوط به یک اشکال تشدید امتیاز در کرنل ویندوز است و با هشدار مایکروسافت در مورد حملات احتمالی که از این نقص بهره‌برداری می‌کنند همراه بوده است.

این شرکت در گزارش خود خاطرنشان کرد: «استفاده موفقیت‌آمیز از این آسیب‌پذیری مستلزم آن است که مهاجم قبل از بهره‌برداری اقدامات بیشتری برای آماده‌سازی محیط هدف انجام دهد. یک حمله موفقیت‌آمیز می‌تواند از یک AppContainer با سطح دسترسی پایین انجام شود. مهاجم می‌تواند امتیازات خود را افزایش دهد و کد را اجرا کند یا به منابع در سطح یکپارچگی بالاتری نسبت به محیط اجرای AppContainer دسترسی داشته باشد.”

همچنین تعدادی از آسیب‌پذیری‌های اجرای کد از راه دور که بر سرور DNS ویندوز تأثیر می‌گذارند شامل (CVE-2022-21984، امتیاز ۸/۸ در مقیاس CVSS)، سرور شیرپوینت (CVE-2022-22005، ا امتیاز ۸/۸ در مقیاس CVSS)، Windows Hyper-V (CVE-2022-21995، امتیاز ۳/۵ در مقیاس CVSS) و برنامه‌های افزودنی ویدئویی HEVC (CVE-2022-21844، CVE-2022-21926 و CVE-2022-21927، امتیاز ۸/۷ در مقیاس CVSS) برطرف شده‌اند.

این به‌روزرسانی امنیتی همچنین آسیب‌پذیری جعلی Azure Data Explorer (CVE-2022-23256، امتیاز ۱/۸ در مقیاس CVSS)، دو آسیب‌پذیری دور زدن امنیتی که هرکدام بر Outlook برای Mac (CVE-2022-23280، امتیاز ۳/۵ در مقیاس CVSS) و OneDrive برای Android (OneDrive برای Android) تأثیر می‌گذارند، اصلاح می‌کند. CVE-2022-23255، امتیاز ۹/۵ در مقیاس CVSS) و دو آسیب‌پذیری انکار سرویس در .NET و Teams (CVE-2022-21986، امتیاز ۵/۷ در مقیاس CVSS و CVE-2022-21965 امتیاز ۰/۵ در مقیاس CVSS) را برطرف می‌کند.

مایکروسافت همچنین اعلام کرد که چندین نقص افزایش سطح دسترسی را برطرف کرده است، چهار مورد در سرویس Print Spooler و یک مورد در درایور Win32k (CVE-2022-21996، امتیاز ۸/۷ در مقیاس CVSS)، که دومی با توجه به مورد اخیر “Exploitation More Likely” نام‌گذاری شده است. یک آسیب‌پذیری مشابه در همان مؤلفه که ماه گذشته وصله شد (CVE-2022-21882) و از آن زمان موردحمله فعال قرار گرفته است[۳و۴].

این به‌روزرسانی‌ها در حالی به دست می‌آیند که این غول فناوری اواخر ماه گذشته آسیب‌پذیری مربوط به سال ۲۰۱۳ را منتشر کرد که یک مشکل تأیید امضاست که بر WinVerifyTrust (CVE-2013-3900) تأثیر می‌گذارد و با اشاره به اینکه این اصلاح “به‌عنوان یک ویژگی انتخاب از طریق تنظیم کلید reg و در نسخه‌های پشتیبانی شده ویندوز منتشرشده از ۱۰ دسامبر ۲۰۱۳ در دسترس است.”

این حرکت ممکن است در پاسخ به یک کمپین بدافزار ZLoader در حال انجام باشد که همان‌طور که توسط Check Point Research در اوایل ژانویه فاش شد[۵]، از این نقص برای دور زدن مکانیسم تأیید امضای فایل و حذف بدافزارهایی که قادر به حذف اعتبار کاربر و سایر اطلاعات حساس هستند، استفاده می‌کند.

وصله‌های نرم‌افزاری از سایر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز برای اصلاح چندین آسیب‌پذیری منتشرشده است:

• Adobe
• اندروید
• سیسکو
• سیتریکس
• گوگل کروم
• اینتل
• توزیع‌های لینوکس شامل اوراکل لینوکس، Red Hat و SUSE
• موزیلا فایرفاکس و فایرفاکس ESR
• SAP
• اشنایدر الکتریک
• زیمنس

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2022-Feb

[۲] https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۳] https://apa.aut.ac.ir/?p=8078

[۴] https://research.ifcr.dk/spoolfool-windows-print-spooler-privilege-escalation-cve-2022-22718-bf7752b68d81

[۵] https://thehackernews.com/2022/01/new-zloader-banking-malware-campaign.html

[۶] https://thehackernews.com/2022/02/microsoft-and-other-major-software.html