مایکروسافت روز سهشنبه ۱۱ جولای ۲۰۲۳ بهروزرسانیهایی را برای رفع ۱۳۲ نقص امنیتی جدید[۱] در نرمافزارهای خود منتشر کرد، از جمله شش نقص روز صفر که به گفته این شرکت به طور فعال در سطح اینترنت مورد بهرهبرداری قرار گرفتهاند.
از ۱۳۲ آسیبپذیری، ۹ آسیبپذیری بحرانی و ۱۲۲ آسیبپذیری از نظر شدت دارای رتبهبندی مهم هستند و به یکی از آنها درجهبندی شدت None اختصاصدادهشده است. این علاوه بر هشت نقصی[۲] است که این غول فناوری در پایان ماه گذشته در مرورگر اج مبتنی بر Chromium خود وصله کرد.
لیست مسائلی که تحت بهرهبرداری فعال قرار گرفتهاند به شرح زیر است:
- CVE-2023-32046 (امتیاز ۸/۷ در مقیاس CVSS) – Windows MSHTML Platform Platform Elevation of Privilege Vulnerability
- CVE-2023-32049 (امتیاز ۸/۸ در مقیاس CVSS) – آسیبپذیری دورزدن ویژگی امنیتی Windows SmartScreen
- CVE-2023-35311 (امتیاز ۸/۸ در مقیاس CVSS) – آسیبپذیری دورزدن ویژگی امنیتی Microsoft Outlook
- CVE-2023-36874 (امتیاز ۸/۷ در مقیاس CVSS) – خدمات گزارش خطای Windows Elevation of Privilege Vulnerability
- CVE-2023-36884 (امتیاز ۳/۸ در مقیاس CVSS) – آسیبپذیری اجرای کد از راه دور HTML آفیس و ویندوز (همچنین در زمان انتشار به طور عمومی شناخته شده است.)
- ADV230001 – استفاده مخرب از درایورهای امضا شده توسط مایکروسافت[۳] برای فعالیتهای پس از بهرهبرداری (بدون CVE اختصاصدادهشده)
سازنده ویندوز گفت که از حملات هدفمند علیه نهادهای دفاعی و دولتی در اروپا و آمریکای شمالی که سعی در بهرهبرداری از CVE-2023-36884 با استفاده از اغواکنندههای اسناد آفیس مایکروسافت مربوط به کنگره جهانی اوکراین دارند، آگاه است که بازتاب آخرین یافتهها از [۴]CERT-UA و بلکبری[۵] است.
مایکروسافت میگوید: «یک مهاجم میتواند یک سند مایکروسافت آفیس ایجاد کند که به آنها امکان اجرای کد از راه دور را در context قربانی میدهد». بااینحال، یک مهاجم باید قربانی را متقاعد کند که فایل مخرب را باز کند.
این شرکت این کمپین نفوذ را به یک گروه مجرم سایبری روسی با نام Storm-0978 که با نامهای RomCom، Tropical Scorpius، UNC2596 و Void Rabisu نیز شناخته میشود، علامتگذاری کرده است.
تیم مایکروسافت Threat Intelligence توضیح داد[۶]: «این بازیگر همچنین از باجافزار Underground استفاده میکند که ارتباط نزدیکی با باجافزار جاسوسی صنعتی دارد که برای اولینبار در ماه می ۲۰۲۲ در سطح اینترنت مشاهده شد. آخرین کمپین این بازیگر که در ژوئن ۲۰۲۳ شناسایی شد شامل سوءاستفاده از CVE-2023-36884 برای ارائه یک درب پشتی با شباهت به RomCom بود.»
حملات فیشینگ اخیر که توسط این بازیگر انجام شده است مستلزم استفاده از نسخههای تروجانی شده نرمافزار قانونی است که در وبسایتهای مشابه میزبانی میشود تا یک تروجان دسترسی از راه دور به نام RomCom RAT را علیه اهداف مختلف اوکراینی و طرفدار اوکراین در اروپای شرقی و آمریکای شمالی مستقر کند.
درحالیکه RomCom برای اولینبار بهعنوان یک گروه مرتبط با باجافزار کوبا طراحی شد، از آن زمان به گونههای دیگر باجافزار مانند [۷]Industrial Spy و همچنین نوع جدیدی به نام Underground از جولای ۲۰۲۳ مرتبط شده است که نشان میدهد کد منبع قابلتوجهی با Industry Spy همپوشانی دارد.
مایکروسافت گفت که قصد دارد “اقدامات مناسب برای کمک به محافظت از مشتریان خود” را در قالب یک بهروزرسانی امنیتی خارج از باند یا از طریق فرایند انتشار ماهانه خود انجام دهد. در غیاب وصلهای برای CVE-2023-36884، این شرکت از کاربران میخواهد از قانون کاهش سطح حمله (ASR) یا «مسدودکردن همه برنامههای آفیس از ایجاد فرایندهای child»[۸] استفاده کنند.
Redmond همچنین گفت که گواهینامههای امضای کد مورداستفاده برای امضا و نصب درایورهای مخرب حالت هسته در سیستمهای در معرض خطر را با استفاده از یک Windows policy loophole برای تغییر تاریخ امضای درایورها قبل از ۲۹ ژوئیه ۲۰۱۵ با استفاده از ابزارهای منبعباز مانند HookSignTool و FuckCertVerifyTimeValidity لغو کرده است.[۹]
یافتهها حاکی از آن است که استفاده از درایورهای حالت کرنل سرکش[۱۰] در میان عوامل تهدید موردتوجه قرار گرفته است؛ زیرا آنها در بالاترین سطح امتیاز در ویندوز کار میکنند و در نتیجه این امکان را فراهم میسازد که برای مدتزمان طولانی پایدار بماند و همزمان با عملکرد نرمافزار امنیتی برای فرار از تشخیص تداخل داشته باشد.
در حال حاضر مشخص نیست که چگونه از سایر نقصها استفاده میشود و این حملات تا چه حد گسترده هستند. اما باتوجهبه بهرهبرداری فعال، توصیه میشود که کاربران بهسرعت بهروزرسانیها را برای کاهش تهدیدات بالقوه اعمال کنند.
وصلههای نرمافزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیبپذیری منتشر شده است، از جمله:
- Adobe
- AMD
- Android
- Apache Projects
- Apple (it has since been pulled)
- Aruba Networks
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- Progress MOVEit Transfer
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- Synology
- VMware
- Zoom, and
- Zyxel
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul
[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۳] https://thehackernews.com/2023/07/hackers-exploit-windows-policy-loophole.html
[۴] https://cert.gov.ua/article/5077168
[۵] https://thehackernews.com/2023/07/romcom-rat-targeting-nato-and-ukraine.html
[۶] https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives
[۷] https://thehackernews.com/2022/11/hackers-using-rogue-versions-of-keepass.html
[۸] https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
[۹] https://thehackernews.com/2023/07/hackers-exploit-windows-policy-loophole.html
[۱۰] https://thehackernews.com/2022/12/ransomware-attackers-use-microsoft.html
[۱۱] https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html
ثبت ديدگاه