به طور خلاصه وصله سه شنبه - یک روز 0 ثابت شد، اما بدون وصله برای Exchange!

دو هفته پیش گزارش دادیم دو روز صفر در مایکروسافت اکسچنج که سه هفته قبل از آن توسط یک شرکت ویتنامی به مایکروسافت گزارش شده بود که ادعا می کرد به طور تصادفی با اشکالات یک تعامل پاسخ حادثه در شبکه مشتری مواجه شده است. (شاید لازم باشد آن را دو بار بخوانید.)

همانطور که احتمالاً به خاطر دارید، باگ ها یادآور سال گذشته هستند ProxyLogin/ProxyShell مشکلات امنیتی در ویندوز، اگرچه این بار یک اتصال تایید شده مورد نیاز است، به این معنی که مهاجم حداقل به رمز عبور ایمیل یک کاربر از قبل نیاز دارد.

این منجر به نام سرگرم کننده-اما بیهوده-گیج کننده شد ProxyNotShell، اگرچه ما در یادداشت های خود به آن به عنوان E00F اشاره می کنیم که مخفف آن است معاوضه دو برابر روز صفر، زیرا اشتباه خواندن آن سخت تر است.

احتمالاً این جزئیات مهم را نیز به یاد خواهید آورد که اولین آسیب‌پذیری در زنجیره حمله E00F می‌تواند پس از انجام بخش رمز ورود به سیستم مورد سوء استفاده قرار گیرد، اما قبل از انجام هر گونه احراز هویت 2FA که برای تکمیل فرآیند ورود به سیستم لازم است.

که آن را به متخصص سوفوس تبدیل می کند چستر ویسنیوسکی دوبله یک حفره “mid-aut” به جای یک باگ واقعی پس از احراز هویت:

یک هفته پیش، زمانی که ما یک جمع بندی سریع در مورد پاسخ مایکروسافت به E00F، که توصیه‌های رسمی کاهش‌دهنده این شرکت را چندین بار تغییر داده است، در پادکست Naked Security به شرح زیر حدس زدیم:

من امروز صبح به سند راهنمای مایکروسافت نگاهی انداختم [2022/10/05]، اما هیچ اطلاعاتی در مورد یک وصله یا زمان در دسترس بودن آن ندیدم.

سه شنبه آینده [2022-10-11] پچ سه شنبه است، بنابراین شاید مجبور شویم تا آن زمان صبر کنیم؟

یک روز پیش [2022-10-11] بود آخرین پچ سه شنبه...

... و بزرگترین خبر تقریباً به طور قطع این است که ما در اشتباه بودیم: ما باید بیشتر منتظر بمانیم.

همه چیز به جز تبادل

وصله‌های این ماه مایکروسافت (بسته به نحوه شمارش و شمارش آن‌ها با شماره 83 یا 84 گزارش شده است) 52 بخش مختلف اکوسیستم مایکروسافت را پوشش می‌دهد (آنچه که شرکت به عنوان آن توصیف می‌کند. "محصولات، ویژگی ها و نقش ها")، از جمله چندین مورد که قبلاً حتی نامشان را نشنیده بودیم.

این یک لیست گیج کننده است که در اینجا به طور کامل آن را تکرار کرده ایم:

خدمات دامنه Active Directory Azure Azure Arc Client Subsystem زمان اجرا (CSRSS) Microsoft Edge (مبتنی بر کروم) مؤلفه گرافیکی Microsoft Office Microsoft Office Microsoft Office SharePoint Microsoft Office Word Microsoft WDAC OLE DB ارائه دهنده سرویس دسترسی از راه دور SQL NuGet Client-to- نقش پروتکل تونل زنی نقطه: Windows Hyper-V Service Fabric Visual Studio Code Services Certificate Directory Windows Windows ALPC Windows CD-ROM Driver Windows COM+ Event Service System Windows تجارب کاربر و تله متری Windows CryptoAPI Windows Defender Windows DHCP Client Windows Distributed File System (DFS) ) Windows DWM Core Library Windows Service Logging Event Service Windows Group Policy Windows Group preference Client Windows Key Exchange Internet (IKE) پروتکل Windows Kernel Windows Local Security Authority (LSA) Windows Local Security Authority Subsystem Service (LSASS) Windows Local Session Manager (LSM) ویندوز NTFS ویندوز NTLM پنجره درایور ویندوز ODBC سرویس شبیه‌سازی ادراک پروتکل تونل‌زنی نقطه‌به‌نقطه ویندوز سرویس شمارشگر دستگاه‌های قابل حمل ویندوز اجزای اسپولر ویندوز سیستم فایل انعطاف‌پذیر ویندوز (ReFS) کانال امن ویندوز امنیت ویندوز رابط ارائه‌دهنده پشتیبانی امنیتی ویندوز سرور کلیدهای رجیستری دسترسی از راه دور کلیدهای رجیستری ویندوز سرور سرویس Windows Storage Windows TCP/ IP Windows USB Serial Driver Windows Windows Web Account Manager Windows Win32K Windows WLAN Service Windows Workstation Service

همانطور که می بینید، کلمه "Exchange" فقط یک بار در متن IKE ظاهر می شود پروتکل تبادل کلید اینترنتی.

بنابراین، هنوز هیچ اصلاحی برای اشکالات E00F وجود ندارد، یک هفته پس از اینکه ما مقاله خود را از یک هفته قبل در مورد گزارش اولیه سه هفته قبل از آن پیگیری کردیم.

به عبارت دیگر، اگر هنوز سرور Exchange داخلی خود را دارید، حتی اگر آن را فقط به عنوان بخشی از انتقال فعال به Exchange Online اجرا می کنیدوصله سه‌شنبه این ماه هیچ کمکی برای Exchange برای شما به ارمغان نیاورده است، بنابراین مطمئن شوید که از آخرین کاهش‌های محصول مایکروسافت به‌روز هستید، و می‌دانید که تشخیص و طبقه‌بندی تهدید شما را دنبال می‌کند. فروشنده امنیت سایبری استفاده می کند برای هشدار دادن به شما در مورد مهاجمان بالقوه ProxyNotShell/E00F که شبکه شما را بررسی می کنند.

چه چیزی درست شد؟

برای بررسی دقیق آنچه در این ماه برطرف شد، به سایت خواهر ما، Sophos News، برای یک "خودی" مراجعه کنید. گزارش vulns-and-exploits از SophosLabs:

نکات برجسته (یا کم نورها، بسته به دیدگاه شما) عبارتند از:

• یک نقص آشکار در آفیس که می تواند منجر به نشت اطلاعات شود. ما از حملات واقعی با استفاده از این باگ آگاه نیستیم، اما اطلاعات مربوط به نحوه سوء استفاده از آن ظاهراً قبل از ظاهر شدن وصله برای مهاجمان بالقوه شناخته شده بود. (CVE-2022-41043)
• یک نقص دسترسی عمومی در سرویس سیستم رویداد COM+. یک حفره امنیتی که به طور عمومی شناخته شده است و قبلاً در حملات واقعی مورد سوء استفاده قرار گرفته است، a روز صفر، زیرا هیچ روزی وجود نداشت که می توانستید قبل از اینکه دنیای سایبری بداند چگونه از آن سوء استفاده کند، این وصله را اعمال کنید. (CVE-2022-41033)
• یک نقص امنیتی در نحوه پردازش گواهی‌های امنیتی TLS. ظاهراً این اشکال توسط سرویس‌های امنیت سایبری دولتی بریتانیا و ایالات متحده (به ترتیب GCHQ و NSA) گزارش شده است و می‌تواند به مهاجمان اجازه دهد تا خود را به‌عنوان مالک گواهی امضای کد یا وب‌سایت شخص دیگری به اشتباه معرفی کنند. (CVE-2022-34689)

به‌روزرسانی‌های این ماه تقریباً برای بسیاری اعمال می‌شوند هر نسخه از ویندوز از ویندوز 7 32 بیتی تا سرور 2022. به‌روزرسانی‌ها ویژگی‌های اینتل و ARM ویندوز را پوشش می‌دهند. و حداقل برخی از اصلاحات را برای مواردی که به عنوان شناخته می شوند شامل می شوند هسته سرور نصب می کند.

(Server Core یک سیستم ویندوز حذف شده است که شما را با یک سرور بسیار ابتدایی و فقط خط فرمان با سطح حمله بسیار کاهش یافته، کنار گذاشتن انواع مؤلفه‌هایی که به سادگی به آنها نیاز ندارید، در اختیار شما قرار می‌دهد. به عنوان مثال، یک سرور DNS و DHCP.)

چه کاری انجام دهید؟

همانطور که در ما توضیح می دهیم تجزیه و تحلیل دقیق در Sophos News، می توانید به هر دو مراجعه کنید تنظیمات > به روز رسانی ویندوز و ببینید چه چیزی در انتظار شماست، یا می توانید به صورت آنلاین از مایکروسافت دیدن کنید راهنمای به روز رسانی و بسته های به روز رسانی فردی را از کاتالوگ بروزرسانی.

میدونی چی میگیم/
   چون همیشه راه ماست.

یعنی «درنگ نکن/
   به سادگی این کار را امروز انجام دهید.»

---