انتشار وصله‌هایی برای ۸۰ نقص امنیتی جدید (دو مورد تحت حمله فعال) توسط مایکروسافت

به‌روزرسانی وصله‌های سه‌شنبه مایکروسافت برای مارس ۲۰۲۳ با اصلاح مجموعه‌ای از ۸۰ نقص امنیتی منتشر می‌شود[۱] که دو مورد از آن‌ها در سطح اینترنت مورد بهره‌برداری فعال قرارگرفته‌اند.

هشت مورد از ۸۰ باگ به‌عنوان بحرانی، ۷۱ باگ به‌عنوان مهم و یکی از آن‌ها ازنظر شدت در گروه متوسط رتبه‌بندی شده‌اند. این به‌روزرسانی‌ها علاوه بر ۲۹ نقص[۲] است که این غول فناوری در هفته‌های اخیر در مرورگر اج مبتنی بر Chromium خود برطرف کرده است.

دو آسیب‌پذیری که موردحمله فعال قرارگرفته‌اند عبارت‌اند از نقص افزایش امتیاز Microsoft Outlook (CVE-2023-23397، امتیاز ۸/۹ در مقیاس CVSS) و دور زدن ویژگی امنیتی Windows SmartScreen (CVE-2023-24880، امتیاز ۱/۵ در مقیاس CVSS).

مایکروسافت در یک گزارش مستقل دراین‌باره گفت[۳]: “CVE-2023-23397 زمانی فعال می‌شود که یک مهاجم پیامی با ویژگی MAPI توسعه‌یافته با یک مسیر UNC به یک اشتراک SMB (TCP 445) روی یک سرور کنترل‌شده توسط عامل تهدید ارسال کند.”

یک عامل تهدید می‌تواند با ارسال یک ایمیل ساخته‌شده خاص، از این نقص استفاده کند و زمانی که توسط مشتری Outlook برای ویندوز بازیابی و پردازش می‌شود، آن را به‌طور خودکار فعال می‌کند. درنتیجه، این می‌تواند بدون نیاز به تعامل کاربر و حتی قبل از مشاهده پیام در صفحه پیش‌نمایش، منجر به بهره‌برداری شود.

مایکروسافت گزارش این نقص را به تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) نسبت داد و افزود که از “حملات هدفمند محدود” که توسط یک بازیگر تهدیدکننده مستقر در روسیه علیه بخش‌های دولتی، حمل‌ونقل، انرژی و نظامی در اروپا انجام‌شده آگاه است.

از سوی دیگر، CVE-2023-24880 مربوط به یک نقص دور زدن امنیتی است که می‌تواند برای فرار از حفاظت Mark-of-the-Web (MotW) هنگام باز کردن فایل‌های نامعتبر دانلود شده از اینترنت مورد بهره‌برداری قرار گیرد.

این همچنین نتیجه یک وصله است که توسط مایکروسافت برای رفع یک باگ دور زدن SmartScreen دیگر (CVE-2022-44698 [4]، امتیاز ۴/۵ در مقیاس CVSS) منتشر شد که سال گذشته آشکار شد و توسط بازیگران دارای انگیزه مالی برای ارائه باج‌افزار Magniber مورد بهره‌برداری قرار گرفت[۵].

Benoit Sevens، محقق گروه تحلیل تهدید گوگل (TAG) در گزارشی دراین‌باره گفت[۶]: «فروشندگان اغلب وصله‌هایی را منتشر می‌کنند و فرصتی را برای مهاجمان ایجاد می‌کنند تا انواع جدید را تکرار و کشف کنند.»

“ازآنجایی‌که دلیل اصلی پشت دور زدن امنیتی SmartScreen بررسی نشد، مهاجمان توانستند به‌سرعت یک نوع متفاوت از باگ اصلی را شناسایی کنند.”

TAG دراین‌باره گفت که از ژانویه ۲۰۲۳ بیش از ۱۰۰٫۰۰۰ بار از فایل‌های مخرب MSI را مشاهده کرده است که با امضای Authenticode تغییر شکل داده‌شده امضا شده‌اند، درنتیجه به دشمن اجازه می‌دهد بدون ارائه هیچ‌گونه هشدار امنیتی، باج‌افزار Magniber را توزیع کند. اکثر این دانلودها مربوط به کاربران اروپایی بوده است.

این افشاگری همچنین زمانی صورت می‌گیرد که آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) این دو نقص را به فهرست آسیب‌پذیری‌های شناخته‌شده ([۷]KEV) اضافه کرده[۸] و یک برنامه آزمایشی جدید[۹] را اعلام کرده است[۱۰] که هدف آن هشدار دادن به نهادهای زیرساخت حیاتی در مورد «آسیب‌پذیری‌هایی است که معمولاً با بهره‌برداری از باج‌افزارهای شناخته‌شده مرتبط هستند. “

همچنین توسط مایکروسافت تعدادی از نقص‌های اجرای کد از راه دور حیاتی است که روی Stack پروتکل HTTP (CVE-2023-23392، امتیاز ۸/۹ در مقیاس CVSS)، پروتکل پیام کنترل اینترنت (CVE-2023-23415، امتیاز ۸/۹ در مقیاس CVSS) و Remote Procedure Call Runtime (CVE-2023-21708، امتیاز ۸/۹ در مقیاس CVSS) تأثیر گذاشته است.

موارد قابل‌توجه دیگر عبارت‌اند از وصله‌هایی برای چهار اشکال افزایش سطح دسترسی شناسایی‌شده در هسته ویندوز، ۱۰ نقص اجرای کد از راه دور که بر درایور چاپگر مایکروسافت پست اسکریپت و کلاس PCL6 تأثیر می‌گذارند و آسیب‌پذیری جعل WebView2 در مرورگر اج[۱۱].

مایکروسافت همچنین دو نقص افشای اطلاعات در OneDrive برای اندروید (CVE-2023-24882 و CVE-2023-24923، امتیازات ۵/۵ در مقیاس CVSS)، یک آسیب‌پذیری spoofing در Office for Android (CVE-2023-23391، CVSS امتیاز ۵/۵ در مقیاس CVSS) یک اشکال دور زدن امنیتی در OneDrive برای iOS (CVE-2023-24890، امتیاز ۳/۴ در مقیاس CVSS)، و یک مشکل افزایش امتیاز در OneDrive برای macOS (CVE-2023-24930، امتیاز ۸/۷ در مقیاس CVSS) را برطرف کرده است.

تکمیل لیست وصله‌هایی برای دو آسیب‌پذیری با شدت بالا[۱۲] در مشخصات کتابخانه مرجع ماژول پلتفرم مورد اعتماد ([۱۳]TPM) 2.0 (CVE-2023-1017 و CVE-2023-1018، امتیازات ۸/۸ در مقیاس CVSS) است که می‌تواند منجر به افشای اطلاعات یا افزایش سطح دسترسی شود.

وصله‌های نرم‌افزاری از سایر فروشندگان

به‌غیراز مایکروسافت، به‌روزرسانی‌های امنیتی نیز از ابتدای ماه جاری توسط سایر فروشندگان برای اصلاح چندین آسیب‌پذیری منتشر شده است، ازجمله:

• Adobe
• Android
• Apache Projects
• Aruba Networks
• Cisco
• Citrix
• CODESYS
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Chrome
• IBM
• Jenkins
• Lenovo
• Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
• MediaTek
• Mozilla Firefox, Firefox ESR, and Thunderbird
• NETGEAR
• NVIDIA
• Qualcomm
• Samba
• Samsung
• SAP
• Schneider Electric
• Siemens
• SonicWall
• Sophos
• Synology
• Trend Micro
• Veeam
• Zoho, and
• Zoom

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar

[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۳] https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability

[۴] https://apa.aut.ac.ir/?p=9370

[۵] https://apa.aut.ac.ir/?p=9314

[۶] https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass

[۷] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۸] https://www.cisa.gov/news-events/alerts/2023/03/14/cisa-adds-three-known-exploited-vulnerabilities-catalog

[۹] https://www.cisa.gov/stopransomware/Ransomware-Vulnerability-Warning-Pilot

[۱۰] https://www.cisa.gov/news-events/news/cisa-establishes-ransomware-vulnerability-warning-pilot-program

[۱۱] https://learn.microsoft.com/en-us/microsoft-edge/webview2

[۱۲] https://thehackernews.com/2023/03/new-flaws-in-tpm-20-library-pose-threat.html

[۱۳] https://en.wikipedia.org/wiki/Trusted_Platform_Module

[۱۴] https://thehackernews.com/2023/03/microsoft-rolls-out-patches-for-80-new.html