انتشار اولین به‌روزرسانی‌های سه‌شنبه‌ها در ژانویه ۲۰۲۳ توسط مایکروسافت و هشدار در مورد یک بهره‌بردارِ روز صفر

اولین اصلاحات سه‌شنبه‎‌های هر ماه که توسط مایکروسافت برای سال ۲۰۲۳ منتشر شد، درمجموع ۹۸ نقص امنیتی[۱] را برطرف کرده است، ازجمله یک اشکال که به گفته این شرکت به‌طور فعال در سطح اینترنت مورد بهره‌برداری قرار گرفته است.

۱۱ مورد از این ۹۸ نقص امنیتی به‌عنوان بحرانی و ۸۷ مورد ازنظر شدت دارای رتبه مهم هستند و آسیب‌پذیری‌ها نیز در زمان انتشار به‌عنوان عمومی شناخته‌شده‌اند. به‌طور جداگانه، انتظار می‌رود که سازنده ویندوز به‌روزرسانی‌هایی را برای مرورگر Edge مبتنی بر Chromium خود منتشر کند.

آسیب‌پذیری موردحمله مربوط به CVE-2023-21674 (دارای امتیاز ۸/۸ در مقیاس CVSS)، یک نقص افزایش امتیاز در فراخوان رویه محلی پیشرفته ویندوز (ALPC[2]) است که می‌تواند توسط مهاجم برای به دست آوردن مجوزهای سیستم مورد بهره‌برداری قرار گیرد.

مایکروسافت با دادن اعتبار به محققان Avast یعنی Jan Vojtěšek، Milánek و Przemek Gmerek بابت گزارش این آسیب‌پذیری، در توصیه‌ای خاطرنشان کرد: «این آسیب‌پذیری می‌تواند منجر به فرار از sandbox مرورگر شود.»

درحالی‌که جزئیات این آسیب‌پذیری هنوز در دست نیست، یک بهره‌برداری موفق مستلزم آن است که مهاجم قبلاً یک آلودگی اولیه را در میزبان به دست آورده باشد. همچنین این احتمال وجود دارد که این نقص با یک باگ موجود در مرورگر وب ترکیب شود تا از sandbox خارج شود و امتیازات بالاتری به دست آورد.

Kev Breen، مدیر تحقیقات تهدیدات سایبری در Immersive Labs دراین‌باره گفت: “هنگامی‌که جای پای اولیه ایجاد شد، مهاجمان به دنبال حرکت در یک شبکه یا به دست آوردن سطوح بالاتری از دسترسی خواهند بود و این نوع آسیب‌پذیری‌های افزایش امتیاز، بخش مهمی از playbook مهاجم هستند.”

Satnam Narang، مهندس ارشد تحقیقاتی کارکنان در Tenable، گفت که با توجه به گفته‌ها، شانس استفاده از زنجیره بهره‌برداری مانند این به شکل گسترده به دلیل ویژگی به‌روزرسانی خودکار مورداستفاده برای وصله مرورگرها محدود است.

همچنین شایان‌ذکر است که آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته‌شده ([۳]KEV) خود اضافه کرده است[۴] و از آژانس‌های فدرال می‌خواهد تا اصلاحیه‌ها را تا ۳۱ ژانویه ۲۰۲۳ اعمال کنند.

علاوه بر این، CVE-2023-21674 چهارمین نقص شناسایی‌شده در ALPC یک تسهیلات ارتباط بین فرآیندی (IPC) ارائه‌شده توسط هسته مایکروسافت ویندوز پس از CVE-2022-41045، CVE-2022-41093 و CVE-2022-41100 (دارای امتیاز ۸/۷ در مقیاس CVSS) است که سه مورد آخر در نوامبر ۲۰۲۲ وصله شدند.

دو آسیب‌پذیری افزایش امتیاز دیگر که به‌عنوان دارای اولویت بالا شناسایی‌شده‌اند، بر Exchange Server مایکروسافت تأثیر می‌گذارند (CVE-2023-21763 و CVE-2023-21764، دارای امتیاز ۸/۷ در مقیاس CVSS)، که از یک وصله ناقص برای CVE-2022-41123 ناشی می‌شوند.

سعید عباسی، مدیر تحقیقات آسیب‌پذیری و تهدید در Qualys در بیانیه‌ای گفت: «یک مهاجم می‌تواند با بهره‌برداری از مسیر فایل سخت‌کد شده، کدی را با امتیازات سطح سیستم اجرا کند.»

همچنین توسط مایکروسافت یک دور زدن ویژگی امنیتی در SharePoint Server (CVE-2023-21743، امتیاز ۳/۵ در مقیاس CVSS) حل شده است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا احراز هویت را دور بزند و یک اتصال ناشناس ایجاد کند. این غول فناوری خاطرنشان کرد: «مشتریان باید برای محافظت از مزرعه SharePoint خود، اقدام به‌روزرسانی SharePoint را که در این به‌روزرسانی گنجانده‌شده است، راه‌اندازی کنند».

به‌روزرسانی ژانویه تعدادی از نقص‌های افزایش سطح دسترسی را برطرف می‌کند، ازجمله یکی درCredential Manager (CVE-2023-21726، امتیاز ۸/۷ در مقیاس CVSS) و سه مورد که بر مؤلفه Print Spooler (CVE-2023-21678، CVE-2023-21760 و CVE-2023-21765) تأثیر می‌گذارند.

آژانس امنیت ملی ایالات‌متحده (NSA) با گزارش CVE-2023-21678 اعتبار دارد. درمجموع، ۳۹ مورد از آسیب‌پذیری‌هایی که مایکروسافت در آخرین به‌روزرسانی خود حذف کرد، امکان افزایش امتیازات را فراهم می‌کند.

گردآوری لیست CVE-2023-21549 (امتیاز ۸/۸ در مقیاس CVSS)، یک آسیب‌پذیری عمومی شناخته‌شده در سرویس Windows SMB Witness، و نمونه دیگری از دور زدن ویژگی امنیتی بر BitLocker است (CVE-2023-21563، امتیاز ۸/۶ در مقیاس CVSS).

مایکروسافت گفت: “یک مهاجم موفق می‌تواند ویژگی رمزگذاری دستگاه BitLocker را در دستگاه ذخیره‌سازی سیستم دور بزند. یک مهاجم با دسترسی فیزیکی به هدف می‌تواند از این آسیب‌پذیری برای دسترسی به داده‌های رمزگذاری شده بهره‌برداری کند.”

علاوه بر این، Redmond دستورالعمل‌های خود را در رابطه با استفاده مخرب[۵] از درایورهای امضاشده[۶] (به نام Bring Your Own Vulnerable Driver) به‌روزرسانی کرده است[۷] تا فهرست بلاک‌های به‌روزرسانی شده‌ای[۸] را که به‌عنوان بخشی از به‌روزرسانی‌های امنیتی ویندوز در ۱۰ ژانویه ۲۰۲۳ منتشر شده است، قرار دهد.

CISA روز سه‌شنبه همچنین CVE-2022-41080، یک نقص افزایش امتیازات Exchange Server را به کاتالوگ KEV اضافه کرد که در پی گزارش‌هایی مبنی بر زنجیره‌بندی[۹] این آسیب‌پذیری در کنار CVE-2022-41082 برای دستیابی به اجرای کد از راه دور در سیستم‌های آسیب‌پذیر است.

این بهره‌بردار، با کد OWASSRF توسط CrowdStrike، توسط بازیگران باج‌افزار Play برای نفوذ به محیط‌های هدف مورداستفاده قرار گرفته است. این نقص‌ها توسط مایکروسافت در نوامبر ۲۰۲۲ برطرف شد[۱۰].

به‌روزرسانی‌های سه‌شنبه نیز با پایان پشتیبانی[۱۱] ویندوز ۷، ویندوز ۸٫۱ و ویندوز RT در ۱۰ ژانویه ۲۰۲۳ ارائه می‌شوند[۱۲]. مایکروسافت اعلام کرد که برنامه به‌روزرسانی امنیتی توسعه‌یافته (ESU) را برای ویندوز ۸٫۱ ارائه نخواهد کرد، در عوض از کاربران می‌خواهد تا سیستم‌عامل‌های خود را به ویندوز ۱۱ ارتقا دهند.

این شرکت هشدار می‌دهد[۱۳]: «ادامه استفاده از ویندوز ۸٫۱ پس از ۱۰ ژانویه ۲۰۲۳ ممکن است قرار گرفتن سازمان در معرض خطرات امنیتی را افزایش دهد یا بر توانایی آن در انجام تعهدات تأثیر بگذارد.»

وصله‌های نرم‌افزاری از سایر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز از ابتدای ماه جاری برای اصلاح چندین آسیب‌پذیری منتشر شده است، ازجمله:

• Adobe
• AMD
• Android
• Cisco
• Citrix
• Dell
• F5
• Fortinet
• GitLab
• Google Chrome
• HP
• IBM
• Intel
• Juniper Networks
• Lenovo
• Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
• MediaTek
• Qualcomm
• SAP
• Schneider Electric
• Siemens
• Synology
• Zoom, and
• Zyxel

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2023-Jan

[۲] https://en.wikipedia.org/wiki/Local_Inter-Process_Communication

[۳] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۴] https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/cisa-adds-two-known-exploited-vulnerabilities-catalog

[۵] https://apa.aut.ac.ir/?p=9376

[۶] https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic

[۷] https://msrc.microsoft.com/update-guide/vulnerability/ADV220005

[۸] https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules

[۹] https://thehackernews.com/2023/01/rackspace-confirms-play-ransomware-gang.html

[۱۰] https://thehackernews.com/2022/11/install-latest-windows-update-asap.html

[۱۱] https://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2023

[۱۲] https://learn.microsoft.com/en-us/lifecycle/products/?products=windows&terms=windows%208.1

[۱۳] https://support.microsoft.com/en-us/windows/windows-8-1-support-will-end-on-january-10-2023-3cfd4cde-f611-496a-8057-923fba401e93

[۱۴] https://thehackernews.com/2023/01/microsoft-issues-january-2023-patch.html