مایکروسافت به‌روزرسانی امنیتی 5 روز صفر در ماه جولای را فاش کرد

مایکروسافت به‌روزرسانی امنیتی 5 روز صفر در ماه جولای را فاش کرد

تمبر زمان: 11 ژوئیه 2023 ساعت 6:16 بعد از ظهر
مایکروسافت 5 روز صفر در به روز رسانی امنیتی حجیم ژوئیه را فاش کرد هوش داده پلاتوبلاک چین. جستجوی عمودی Ai.

مایکروسافت به روز رسانی امنیتی ماه جولای شامل اصلاحاتی برای 130 آسیب پذیری منحصر به فرد است که پنج مورد از آنها مهاجمان در حال حاضر به طور فعال در طبیعت از آنها سوء استفاده می کنند.

این شرکت 121 مورد از ایرادات را با شدت بحرانی و XNUMX مورد از آنها را با شدت متوسط ​​یا مهم ارزیابی کرد. این آسیب پذیری ها طیف گسترده ای از محصولات مایکروسافت از جمله ویندوز، آفیس، دات نت، Azure Active Directory، درایورهای چاپگر، سرور DMS و دسکتاپ از راه دور را تحت تاثیر قرار می دهد. این به‌روزرسانی حاوی ترکیبی معمول از نقص‌های اجرای کد از راه دور (RCE)، مشکلات دور زدن امنیتی و افزایش امتیازات، باگ‌های افشای اطلاعات و آسیب‌پذیری‌های انکار سرویس بود.

اگرچه این حجم از اصلاحات بالاترین میزانی است که در چند سال اخیر دیده‌ایم'داستین چایلدز، محقق امنیتی Trend Micro's Zero Day Initiative (ZDI)، در یک پست وبلاگی گفت: دیدن مایکروسافت که تعداد زیادی پچ را درست قبل از کنفرانس Black Hat USA ارسال می کند، غیرعادی نیست.

به گفته محققان امنیتی، از نقطه نظر اولویت‌بندی وصله‌ها، پنج روز صفر که مایکروسافت در این هفته فاش کرد، شایسته توجه فوری است.

جدی ترین آنها این است CVE-2023-36884، یک باگ اجرای کد از راه دور (RCE) در آفیس و HTML ویندوز که مایکروسافت در به روز رسانی این ماه وصله ای برای آن نداشت. این شرکت گروه تهدیدی را که در حال ردیابی است، Storm-0978 شناسایی کرده است که از نقص یک کمپین فیشینگ که دولت و سازمان های دفاعی در آمریکای شمالی و اروپا را هدف قرار می دهد، سوء استفاده می کند.

این کمپین شامل یک بازیگر تهدید می شود که یک درب پشتی به نام RomCom را از طریق اسناد ویندوز با موضوعات مربوط به کنگره جهانی اوکراین توزیع می کند. طوفان-0978'عملیات هدفمند بر سازمان‌های دولتی و نظامی عمدتاً در اوکراین و همچنین سازمان‌هایی در اروپا و آمریکای شمالی که بالقوه درگیر در امور اوکراین هستند، تأثیر گذاشته است. مایکروسافت در یک وبلاگ گفت پستی که با به‌روزرسانی امنیتی ماه جولای همراه بود. حملات باج‌افزاری شناسایی‌شده، صنایع مخابراتی و مالی را تحت تأثیر قرار داده است.»

داستین چایلدز، محقق دیگری در ZDI، به سازمان‌ها هشدار داد که CVE-2023-36884 را به‌عنوان یک مسئله امنیتی «بحرانی» در نظر بگیرند، اگرچه خود مایکروسافت آن را به‌عنوان یک باگ نسبتاً کم‌تر و «مهم» ارزیابی کرده است. مایکروسافت اقدام عجیبی را برای انتشار این CVE انجام داده است بدون یک پچ که'چایلدز در یک پست وبلاگ نوشت. واضح است که وجود دارد'برای این اکسپلویت بسیار بیشتر از آنچه گفته می شود، صحبت می شود.

دو مورد از پنج آسیب پذیری که به طور فعال مورد سوء استفاده قرار می گیرند، نقص های دور زدن امنیتی هستند. یکی بر Microsoft Outlook (CVE-2023-35311) و دیگری شامل Windows SmartScreen (CVE-2023-32049). هر دو آسیب‌پذیری نیاز به تعامل کاربر دارند، به این معنی که یک مهاجم تنها با متقاعد کردن کاربر برای کلیک کردن روی یک URL مخرب می‌تواند از آنها سوء استفاده کند. با CVE-2023-32049، یک مهاجم می‌تواند درخواست Open File – Security Warning را دور بزند، در حالی که CVE-2023-35311 به مهاجمان راهی می‌دهد تا حمله خود را توسط اعلان امنیتی Microsoft Outlook پنهان کنند.

مایک والترز، معاون تحقیقات آسیب‌پذیری و تهدید در Action2023 می‌گوید: «این مهم است که توجه داشته باشید [CVE-35311-1] به‌طور خاص اجازه دور زدن ویژگی‌های امنیتی Microsoft Outlook را می‌دهد و اجرای کد از راه دور یا افزایش امتیاز را فعال نمی‌کند. بنابراین، مهاجمان احتمالاً آن را با سایر سوء استفاده‌ها برای یک حمله جامع ترکیب می‌کنند. او در ایمیلی به Dark Reading خاطرنشان کرد: این آسیب‌پذیری بر تمام نسخه‌های Microsoft Outlook از سال 2013 به بعد تأثیر می‌گذارد.

Kev Breen، مدیر تحقیقات تهدیدات سایبری در Immersive Labs، دیگر دور زدن امنیتی صفر روز را ارزیابی کرد. - CVE-2023-32049 - به عنوان یک اشکال دیگر که عوامل تهدید به احتمال زیاد از آن به عنوان بخشی از یک زنجیره حمله گسترده تر استفاده می کنند.

دو روز صفر دیگر در آخرین مجموعه وصله‌های مایکروسافت، هر دو افزایش امتیاز را امکان‌پذیر می‌کنند. محققان گروه تحلیل تهدیدات گوگل یکی از آنها را کشف کردند. نقص، ردیابی به عنوان CVE-2023-36874، یک مشکل افزایش امتیاز در سرویس گزارش خطای ویندوز (WER) است که به مهاجمان راهی برای به دست آوردن حقوق اداری در سیستم های آسیب پذیر می دهد. یک مهاجم برای سوء استفاده از نقص به دسترسی محلی به سیستم آسیب‌دیده نیاز دارد، که می‌تواند از طریق سایر اکسپلویت‌ها یا از طریق سوءاستفاده از اعتبار به دست آورد.

تام باویر، محقق امنیتی در Automox می‌گوید: «سرویس WER یک ویژگی در سیستم‌عامل ویندوز مایکروسافت است که به‌طور خودکار گزارش‌های خطا را هنگام از کار افتادن برخی نرم‌افزارها یا مواجهه با انواع دیگر خطاها جمع‌آوری و برای مایکروسافت ارسال می‌کند. او گفت: «این آسیب‌پذیری روز صفر به طور فعال مورد سوء استفاده قرار می‌گیرد، بنابراین اگر WER توسط سازمان شما استفاده می‌شود، توصیه می‌کنیم ظرف 24 ساعت وصله کنید.

افزایش دیگر اشکال امتیاز در به‌روزرسانی امنیتی ماه جولای که مهاجمان در حال حاضر فعالانه از آن سوء استفاده می‌کنند CVE-2023-32046 در پلتفرم Windows MSHTM مایکروسافت، با نام مستعار موتور رندر مرورگر "Trident". مانند بسیاری از اشکالات دیگر، این یکی نیز نیاز به سطحی از تعامل کاربر دارد. در سناریوی حمله ایمیل برای سوء استفاده از باگ، یک مهاجم باید یک فایل ساخته شده خاص را برای کاربر هدف ارسال کند و کاربر را وادار به باز کردن آن کند. مایکروسافت گفت: در یک حمله مبتنی بر وب، یک مهاجم باید یک وب سایت مخرب را میزبانی کند - یا از یک در معرض خطر استفاده کند - تا یک فایل ساخته شده خاص را میزبانی کند و سپس قربانی را متقاعد کند که آن را باز کند.

RCE ها در مسیریابی ویندوز، سرویس دسترسی از راه دور

محققان امنیتی به سه آسیب‌پذیری RCE در سرویس مسیریابی و دسترسی از راه دور ویندوز (RRAS) اشاره کردند.CVE-2023-35365, CVE-2023-35366و CVE-2023-35367) به عنوان همه موارد شایسته توجه در اولویت است. مایکروسافت هر سه آسیب پذیری را بحرانی ارزیابی کرده است و هر سه دارای امتیاز CVSS 9.8 هستند. به گفته Automox's Bowyer، این سرویس به طور پیش‌فرض در سرور ویندوز در دسترس نیست و اساساً رایانه‌های دارای سیستم عامل را قادر می‌سازد تا به عنوان روتر، سرور VPN و سرورهای شماره‌گیری عمل کنند. یک مهاجم موفق می‌تواند پیکربندی‌های شبکه را تغییر دهد، داده‌ها را بدزدد، به دیگر سیستم‌های حیاتی/مهم‌تر منتقل شود یا حساب‌های اضافی برای دسترسی مداوم به دستگاه ایجاد کند."

ایرادات سرور شیرپوینت

به‌روزرسانی ماه جولای مایکروسافت شامل اصلاحاتی برای چهار آسیب‌پذیری RCE در سرور SharePoint بود که اخیراً به یک هدف مهاجم محبوب تبدیل شده است. مایکروسافت دو مورد از اشکالات را "مهم" ارزیابی کرد (CVE-2023-33134 و CVE-2023-33159) و دو مورد دیگر به عنوان "بحرانی" (CVE-2023-33157 و CVE-2023-33160). Yoav Iellin، محقق ارشد در Silverfort گفت: "همه آنها نیاز دارند که مهاجم احراز هویت شود یا کاربر اقدامی را انجام دهد که خوشبختانه خطر نقض را کاهش می دهد." با این حال، از آنجایی که شیرپوینت می‌تواند حاوی داده‌های حساس باشد و معمولاً از خارج از سازمان در معرض نمایش قرار می‌گیرد، کسانی که از نسخه‌های داخلی یا ترکیبی استفاده می‌کنند باید به‌روزرسانی شوند.»

سازمان هایی که باید مقرراتی مانند FEDRAMP، PCI، HIPAA، SOC2 و مقررات مشابه را رعایت کنند، باید به CVE-2023-35332: Dor Dali، سرپرست تحقیقات Cyolo، گفت که یک نقص امنیتی در پروتکل دور دسکتاپ از راه دور ویندوز وجود دارد. او گفت که این آسیب‌پذیری به استفاده از پروتکل‌های منسوخ و منسوخ، از جمله امنیت لایه انتقال داده‌گرام (DTLS) نسخه 1.0 مربوط می‌شود که خطرات امنیتی و انطباق قابل توجهی را برای سازمان‌ها ایجاد می‌کند. او گفت در شرایطی که یک سازمان نمی تواند فوراً به روز شود، باید پشتیبانی UDP را در دروازه RDP غیرفعال کند.

علاوه بر این ، مایکروسافت یک مشاوره منتشر کرد در مورد تحقیقات خود در مورد گزارش های اخیر در مورد عوامل تهدید با استفاده از درایورهای دارای گواهی مایکروسافت'برنامه توسعه سخت افزار ویندوز (MWHDP) در فعالیت پس از بهره برداری.

تمبر زمان:

بیشتر از تاریک خواندن