آخرین آپدیت مایکروسافت ویندوز را در اسرع وقت نصب کنید! وصله‌های منتشرشده برای ۶ آسیب‌پذیری روز صفر فعال و بهره‌برداری شده

آخرین دور از به‌روزرسانی‌های امنیتی ماهانه مایکروسافت با رفع ۶۸ آسیب‌پذیری[۱] در مجموعه نرم‌افزاری آن، ازجمله وصله‌هایی برای شش آسیب‌پذیری روز صفر که به‌طور فعال مورد بهره‌برداری قرارگرفته‌اند، منتشر شده است.

۱۲ مورد از این آسیب‌پذیری‌ها بحرانی، دو مورد دارای رتبه بالا، و ۵۵ مورد ازنظر شدت دارای رتبه مهم هستند. این بسته همچنین شامل نقاط ضعفی است که هفته قبل توسط OpenSSL بسته شد[۲].

همچنین به‌طور جداگانه در Microsoft Edge در ابتدای ماه، یک نقص فعال در مرورگرهای مبتنی بر Chromium ([3]CVE-2022-3723) مورد بهره‌برداری قرار گرفته است که توسط گوگل به‌عنوان بخشی از به‌روزرسانی خارج از باند در اواخر ماه گذشته وصله شد[۴].

Greg Wiseman، مدیر محصول در Rapid7 در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شده است، گفت: «خبر بزرگ این است که دو CVE روز صفر قدیمی‌تر[۵] که روی Exchange Server تأثیر می‌گذارند، که در پایان سپتامبر عمومی شده‌اند، سرانجام برطرف شده‌اند.»

“به مشتریان توصیه می‌شود که سیستم‌های Exchange Server خود را فوراً به‌روز کنند[۶]، صرف‌نظر از اینکه آیا مراحل پیشگیرانه توصیه‌شده قبلی اعمال شده است یا خیر. روش‌های پیشگیرانه پس از وصله سیستم‌ها دیگر توصیه نمی‌شوند.”

لیست آسیب‌پذیری‌هایی که به‌طور فعال مورد بهره‌برداری قرارگرفته‌اند، که امکان افزایش امتیاز و اجرای کد از راه دور را فراهم می‌کنند، به شرح زیر است:

• CVE-2022-41040 (امتیاز ۸/۸ در مقیاس CVSS) – آسیب‌پذیری امتیازی ارتقاء سرور Microsoft Exchange (معروف به ProxyNotShell)
• CVE-2022-41082 (امتیاز ۸/۸ در مقیاس CVSS) – آسیب‌پذیری امتیازی ارتقاء سرور Microsoft Exchange (معروف به ProxyNotShell)
• CVE-2022-41128 (امتیاز ۸/۸ در مقیاس CVSS) – آسیب‌پذیری اجرای کد از راه دور زبان‌های برنامه‌نویسی ویندوز
• CVE-2022-41125 (امتیاز ۸/۷ در مقیاس CVSS) – سرویس جداسازی کلید CNG Windows Elevation of Privilege Vulnerability
• CVE-2022-41073 (امتیاز ۸/۷ در مقیاس CVSS) – Windows Print Spooler Elevation of Privilege Vulnerability
• CVE-2022-41091 (امتیاز ۴/۵ در مقیاس CVSS) – Windows Mark of the Web Security Feature Bypass آسیب‌پذیری

Benoît Sevens و Clément Lecigne از گروه تجزیه‌وتحلیل تهدیدات گوگل (TAG) با گزارش CVE-2022-41128 اعتبار دارند که در جزء JScript9 قرار دارد و زمانی رخ می‌دهد که یک هدف فریب‌خورده و از یک وب‌سایت ویژه ساخته‌شده بازدید کند.

CVE-2022-41091 یکی از دو نقص دور زدن امنیتی[۷] در Windows Mark of the Web (MoTW) است که در چند ماه گذشته آشکار شد. اخیراً توسط بازیگر باج‌افزار Magniber برای هدف قرار دادن کاربران با به‌روزرسانی‌های نرم‌افزاری جعلی، به‌عنوان سلاح مورداستفاده قرار گرفت.

مایکروسافت در گزارشی دراین‌باره گفت: “یک مهاجم می‌تواند یک فایل مخرب ایجاد کند که از سیستم دفاعی Mark of the Web (MotW) فرار کند و منجر به از دست دادن محدوده یکپارچگی و در دسترس بودن ویژگی‌های امنیتی مانند Protected View در مایکروسافت آفیس شود که به برچسب‌گذاری MotW متکی است.”

دومین نقص MotW که باید برطرف شود CVE-2022-41049 (معروف به [۸]ZippyReads) است. این آسیب‌پذیری توسط Will Dormann که یک محقق امنیتی در Analygence است، گزارش شده است. این آسیب‌پذیری به شکست در تنظیم Web flag روی فایل‌های آرشیو استخراج‌شده مربوط می‌شود[۹].

Kev Breen، مدیر تحقیقات تهدیدات سایبری در Immersive Labs دراین‌باره گفت، دو نقص افزایش امتیاز در Print Spooler و [۱۰]CNG Key Isolation Service احتمالاً توسط عوامل تهدید به‌عنوان دنباله‌ای برای در معرض خطر قرار دادن اولیه و کسب امتیازات سیستم مورد بهره‌برداری قرار می‌گیرند.

Breen افزود: «این سطح دسترسی بالاتر برای غیرفعال کردن یا دست‌کاری ابزارهای نظارت امنیتی قبل از اجرای حملات اعتباری با ابزارهایی مانند Mimikatz لازم است که می‌تواند به مهاجمان اجازه دهد به‌صورت جانبی در سراسر شبکه حرکت کنند.»

چهار آسیب‌پذیری دیگر با رتبه‌بندی بحرانی در وصله نوامبر که قابل‌ذکر است، نقص‌های افزایش امتیاز در [۱۱]Windows Kerberos (CVE-2022-37967)، [۱۲]Kerberos RC4-HMAC (CVE-2022-37966) و Microsoft Exchange Server (CVE-2022-410) هستند و یک نقص انکار سرویس که بر ویندوز Hyper-V (CVE-2022-38015) تأثیر می‌گذارد.

فهرست رفع نقص‌های بحرانی با چهار آسیب‌پذیری اجرای کد از راه دور در Point-to-Point Tunneling Protocol  یا PPTP[13] همراه است که همگی دارای امتیاز ۱/۸ (CVE-2022-41039، CVE-2022-41088، و CVE) هستند. آسیب‌پذیری چهارم نیز تأثیرگذار بر زبان‌های برنامه‌نویسی ویندوز JScript9 و Chakra هست (CVE-2022-41118).

علاوه بر این مشکلات، به‌روزرسانی سه‌شنبه‌های مایکروسافت تعدادی از نقص‌های اجرای کد از راه دور را در Microsoft Excel، Word، ODBC Driver، Office Graphics، SharePoint Server و Visual Studio و همچنین تعدادی از اشکالات افزایش امتیازات در Win32k، Overlay Filter و Group Policy برطرف می‌کند.

وصله‌های نرم‌افزاری از سایر فروشندگان

گذشته از مایکروسافت، به‌روزرسانی‌های امنیتی نیز از ابتدای ماه جاری توسط سایر فروشندگان برای اصلاح چندین آسیب‌پذیری منتشر شده است، ازجمله:

• AMD
• Android
• Apple
• Cisco
• Citrix
• CODESYS
• Dell
• F5
• Fortinet
• GitLab
• Google Chrome
• HP
• IBM
• Intel
• Juniper Networks
• Lenovo
• Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
• MediaTek
• NVIDIA
• Qualcomm
• SAP
• Schneider Electric
• Siemens
• Trend Micro
• VMware
• WordPress

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2022-Nov

[۲] https://apa.aut.ac.ir/?p=9302

[۳] https://apa.aut.ac.ir/?p=9287

[۴] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۵] https://thehackernews.com/2022/10/microsoft-issues-improved-mitigations.html

[۶] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

[۷] https://apa.aut.ac.ir/?p=9314

[۸] https://twitter.com/wdormann/status/1590044005395357697

[۹] https://breakdev.org/zip-motw-bug-analysis

[۱۰] https://learn.microsoft.com/en-us/windows/win32/seccng/key-storage-and-retrieval

[۱۱] https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb

[۱۲] https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d

[۱۳] https://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol

[۱۴] https://thehackernews.com/2022/11/citrix-issues-patches-for-critical-flaw.html