وصله سه‌شنبه: 0 روز، اشکالات RCE، و داستان عجیب بدافزار امضا شده

یک ماه دیگر، سه شنبه پچ دیگر مایکروسافت، 48 وصله دیگر، دو روز صفر دیگر…

...و یک داستان حیرت‌انگیز در مورد تعدادی از بازیگران سرکش که خود مایکروسافت را فریب دادند تا کد مخرب خود را مهر تایید دیجیتال رسمی بدهد.

برای دیدگاه محقق تهدید درباره اصلاحات وصله سه شنبه برای دسامبر 2002، لطفاً به این آدرس مراجعه کنید نگارش Sophos X-Ops در سایت خواهر ما سوفوس نیوز:

برای شیرجه عمیق به حماسه بدافزار امضا شده، که اخیراً توسط کارشناسان Sophos Rapid Response کشف و گزارش شده است که با عواقب یک حمله موفقیت آمیز مقابله کرده اند:

و برای بررسی سطح بالا از مسائل بزرگ این ماه، فقط به خواندن اینجا ادامه دهید…

دو سوراخ روز صفر وصله شده است

خوشبختانه، هیچ یک از این باگ ها نمی توانند برای آنچه RCE شناخته می شود مورد سوء استفاده قرار گیرند.اجرای کد از راه دور)، بنابراین به مهاجمان خارجی مسیر مستقیمی برای ورود به شبکه شما نمی دهند.

با این وجود، هر دوی آنها باگ هایی هستند که کار را برای مجرمان سایبری ساده تر می کنند و راه هایی را برای آن ها فراهم می کنند تا از محافظت های امنیتی که معمولاً آنها را در مسیر خود متوقف می کند، کنار بگذارند:

---

CVE-2022-44710: DirectX Graphics Kernel Elevation of Privilege آسیب پذیری

سوء استفاده ای که به کاربر محلی اجازه می دهد از این باگ سوء استفاده کند ظاهراً به صورت عمومی افشا شده است.

با این حال، تا آنجا که ما می دانیم، این باگ فقط در مورد جدیدترین بیلدها (2022H2) ویندوز 11 اعمال می شود.

EoP در سطح هسته (بالا بردن امتیاز) اشکالات به کاربران معمولی اجازه می دهد تا خود را به قدرت های سطح سیستم «ترفیع» کنند، که به طور بالقوه یک نفوذ دردسرساز اما شاید محدود جرایم سایبری را به یک سازش کامل رایانه ای تبدیل می کند.

---

CVE-2022-44698: آسیب پذیری دور زدن ویژگی امنیتی Windows SmartScreen

این اشکال همچنین شناخته شده است که در طبیعت نیز مورد استفاده قرار گرفته است.

مهاجمی با محتوای مخرب که معمولاً یک هشدار امنیتی را تحریک می‌کند، می‌تواند این اعلان را دور بزند و در نتیجه حتی کاربران آگاه را بدون هشدار آلوده کند.

---

اشکالات برای تماشا

و در اینجا سه ​​باگ جالب وجود دارد که 0 روزه نبودند، اما کلاهبرداران ممکن است علاقه مند به کاوش در آنها باشند، به این امید که راه هایی برای حمله به هر کسی که در وصله کردن آن کند است، بیابند.

به یاد داشته باشید که خود وصله‌ها اغلب به‌طور اجتناب‌ناپذیر به مهاجمان راهنمایی‌های واضحی در مورد اینکه از کجا شروع کنند و به دنبال چه چیزهایی باشند می‌دهند.

این نوع بررسی موشکافانه «عقب به سمت حمله» می‌تواند منجر به چیزی شود که در اصطلاح به آن معروف است. اکسپلویت های روز N، به این معنی حملاتی که آنقدر سریع ظاهر می شوند که هنوز هم افراد زیادی را بیرون می آورند، حتی اگر سوء استفاده ها پس از در دسترس بودن وصله ها وارد شوند.

---

CVE-2022-44666: آسیب پذیری اجرای کد از راه دور Windows Contacts 

به گفته محققان Sophos X-Ops، باز کردن یک فایل تماس با تله انفجاری می تواند چیزی بیش از وارد کردن یک آیتم جدید به لیست مخاطبین شما باشد.

با نوع نادرست محتوای فایلی که احساس می‌کند (به قول داگلاس آدامز) باید «بی‌خطر» باشد، یک مهاجم می‌تواند شما را فریب دهد تا کدهای نامعتبر را اجرا کنید.

---

CVE-2022-44690 و CVE-2022-44693: آسیب پذیری های اجرای کد از راه دور سرور شیرپوینت مایکروسافت

خوشبختانه، این باگ سرور شیرپوینت شما را فقط برای کسی باز نمی کند، اما هر کاربر موجود در شبکه شما که دارای مجوز ورود به سیستم شیرپوینت به همراه مجوزهای "ManageList" باشد، می تواند بسیار بیشتر از مدیریت ساده لیست های شیرپوینت انجام دهد.

از طریق این آسیب‌پذیری، آنها می‌توانند کد دلخواه خود را روی سرور شیرپوینت شما نیز اجرا کنند.

---

CVE-2022-41076: آسیب پذیری اجرای کد از راه دور PowerShell 

کاربران مجاز که به شبکه وارد شده اند می توانند از طریق سیستم PowerShell Remoting برای اجرای برخی از دستورات PowerShell (اما نه لزوماً همه) در رایانه های دیگر، از جمله کلاینت ها و سرورها، دسترسی داشته باشند.

با سوء استفاده از این آسیب‌پذیری، به نظر می‌رسد که کاربران PowerShell Remoting می‌توانند محدودیت‌های امنیتی را که قرار است برای آن‌ها اعمال شود، دور بزنند و دستورات از راه دور را اجرا کنند که باید خارج از محدودیت باشند.

---

حماسه راننده امضا شده

و آخرین، اما به هیچ وجه کم اهمیت ترین، یک جدید جذاب وجود دارد مشاوره امنیتی مایکروسافت برای همراهی پچ سه شنبه این ماه:

---

ADV220005: راهنمایی در مورد درایورهای امضا شده مایکروسافت که به طور مخرب استفاده می شوند

به طرز شگفت انگیزی، این توصیه دقیقاً به معنای همان چیزی است که می گوید.

کارشناسان Sophos Rapid Reponse به همراه محققان دو شرکت امنیت سایبری دیگر اخیرا کشف و گزارش شد حملات دنیای واقعی شامل نمونه‌های بدافزار که به صورت دیجیتالی توسط خود مایکروسافت امضا شده بودند.

---

همانطور که مایکروسافت توضیح می دهد:

اخیراً به مایکروسافت اطلاع داده شده است که درایورهای تأیید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور مخرب در فعالیت های پس از بهره برداری استفاده می شوند. […] این تحقیق نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت درگیر ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت بودند.

به عبارت دیگر، کدنویسان سرکش موفق شدند مایکروسافت را فریب دهند تا درایورهای هسته مخرب را امضا کند، به این معنی که حملاتی که توسط Sophos Rapid Response بررسی شده بود، مجرمان سایبری را شامل می شد که قبلاً یک راه مطمئن برای دریافت قدرت های سطح هسته در رایانه هایی که به آنها حمله کرده بودند، داشتند.

...بدون نیاز به آسیب پذیری اضافی، سوء استفاده یا حقه های دیگر.

آنها به سادگی می‌توانند یک درایور هسته ظاهراً رسمی با نسخه‌ای از خود مایکروسافت نصب کنند و ویندوز براساس طراحی، به طور خودکار به آن اعتماد کرده و آن را بارگذاری می‌کند.

خوشبختانه، آن کدنویسان سرکش اکنون بوده اند بیرون انداخته شده برنامه توسعه دهنده مایکروسافت، و درایورهای سرکش شناخته شده توسط مایکروسافت در لیست مسدود شده اند، بنابراین دیگر کار نخواهند کرد.

برای یک فرو رفتن عمیق در این داستان دراماتیک، از جمله توضیحی در مورد آنچه که مجرمان توانستند با این نوع ابرقدرت "رسما تایید شده" به دست آورند (در اصل، نرم افزار امنیتی را برخلاف میل خود از داخل خود سیستم عامل خاتمه دهید)، لطفاً تجزیه و تحلیل Sophos X-Ops را بخوانید:

---