مائیکروسافٹ نے جولائی کی بڑی سیکیورٹی اپ ڈیٹ میں 5 صفر دنوں کا انکشاف کیا۔

مائیکروسافٹ نے جولائی کی بڑی سیکیورٹی اپ ڈیٹ میں 5 صفر دنوں کا انکشاف کیا۔

ٹائم سٹیمپ: 11 جولائی 2023 دوپہر 6:16 بجے
Microsoft Discloses 5 Zero-Days in Voluminous July Security Update PlatoBlockchain Data Intelligence. Vertical Search. Ai.

مائیکروسافٹ جولائی سیکیورٹی اپ ڈیٹ مجموعی طور پر 130 انوکھی کمزوریوں کے لیے اصلاحات پر مشتمل ہے، جن میں سے پانچ حملہ آور پہلے ہی جنگلی علاقوں میں فعال طور پر استحصال کر رہے ہیں۔

کمپنی نے ان میں سے نو خامیوں کو اہم شدت اور ان میں سے 121 کو معتدل یا اہم شدت کے طور پر درجہ دیا۔ کمزوریاں مائیکروسافٹ پروڈکٹس کی ایک وسیع رینج کو متاثر کرتی ہیں جن میں ونڈوز، آفس، .Net، Azure ایکٹو ڈائریکٹری، پرنٹر ڈرائیورز، DMS سرور اور ریموٹ ڈیسک ٹاپ شامل ہیں۔ اپ ڈیٹ میں ریموٹ کوڈ ایگزیکیوشن (RCE) کی خامیوں، سیکیورٹی بائی پاس اور استحقاق میں اضافے کے مسائل، معلومات کے انکشاف کے بگ، اور سروس کے خطرات سے انکار کا معمول کا مرکب شامل تھا۔

اصلاحات کا یہ حجم ہم نے گزشتہ چند سالوں میں دیکھا ہے، اگرچہ یہ سب سے زیادہ ہے۔'بلیک ہیٹ یو ایس اے کانفرنس سے ٹھیک پہلے مائیکروسافٹ کو بڑی تعداد میں پیچ بھیجتے ہوئے دیکھنا کوئی غیر معمولی بات نہیں ہے،" ٹرینڈ مائیکرو کے زیرو ڈے انیشی ایٹو (ZDI) کے سیکیورٹی ریسرچر ڈسٹن چائلڈز نے ایک بلاگ پوسٹ میں کہا۔

حفاظتی محققین کے مطابق، پیچ کی ترجیح کے نقطہ نظر سے، مائیکروسافٹ نے اس ہفتے جن پانچ صفر دن کا انکشاف کیا ہے، فوری توجہ کے مستحق ہیں۔

ان میں سب سے زیادہ سنگین ہے۔ CVE-2023-36884آفس اور ونڈوز ایچ ٹی ایم ایل میں ایک ریموٹ کوڈ ایگزیکیوشن (آر سی ای) بگ، جس کے لیے مائیکروسافٹ کے پاس اس مہینے کی اپ ڈیٹ میں کوئی پیچ نہیں تھا۔ کمپنی نے ایک خطرے والے گروپ کی نشاندہی کی جسے وہ ٹریک کر رہا ہے، Storm-0978، شمالی امریکہ اور یورپ میں حکومت اور دفاعی تنظیموں کو نشانہ بنانے والی فشنگ مہم میں خامیوں کا فائدہ اٹھا رہا ہے۔

اس مہم میں دھمکی آمیز اداکار شامل ہے جو یوکرین ورلڈ کانگریس سے متعلق تھیمز کے ساتھ ونڈوز دستاویزات کے ذریعے بیک ڈور، روم کام ڈب کر رہا ہے۔ "طوفان-0978'کی ٹارگٹڈ کارروائیوں نے بنیادی طور پر یوکرین میں حکومتی اور فوجی تنظیموں کے ساتھ ساتھ یورپ اور شمالی امریکہ کی تنظیموں کو بھی متاثر کیا ہے جو ممکنہ طور پر یوکرین کے معاملات میں ملوث ہیں۔ مائیکروسافٹ نے ایک بلاگ میں کہا پوسٹ جو جولائی کی سیکیورٹی اپ ڈیٹ کے ساتھ تھی۔ "شناخت شدہ رینسم ویئر حملوں نے دوسروں کے علاوہ ٹیلی کمیونیکیشن اور فنانس کی صنعتوں کو متاثر کیا ہے۔"

ZDI کے ایک اور محقق Dustin Childs نے تنظیموں کو تنبیہ کی کہ وہ CVE-2023-36884 کو ایک "نازک" حفاظتی مسئلہ سمجھیں حالانکہ خود مائیکروسافٹ نے اسے نسبتاً کم شدید، "اہم" بگ کے طور پر سمجھا ہے۔ "مائیکروسافٹ نے اس CVE کو جاری کرنے کی عجیب و غریب کارروائی کی ہے۔ بغیر ایک پیچ. وہ'ابھی آنا باقی ہے،" بچوں نے ایک بلاگ پوسٹ میں لکھا۔ "واضح طور پر، وہاں'اس استحصال سے کہیں زیادہ کہا جا رہا ہے۔"

جن پانچ کمزوریوں کا فعال طور پر فائدہ اٹھایا جا رہا ہے ان میں سے دو سیکورٹی بائی پاس کی خامیاں ہیں۔ ایک مائیکروسافٹ آؤٹ لک کو متاثر کرتا ہے (CVE-2023-35311) اور دوسرے میں ونڈوز اسمارٹ اسکرین شامل ہے (CVE-2023-32049)۔ دونوں کمزوریوں کے لیے صارف کے تعامل کی ضرورت ہوتی ہے، یعنی حملہ آور صرف صارف کو کسی نقصان دہ URL پر کلک کرنے کے لیے قائل کر کے ہی ان کا استحصال کر سکتا ہے۔ CVE-2023-32049 کے ساتھ، ایک حملہ آور اوپن فائل – سیکیورٹی وارننگ پرامپٹ کو نظرانداز کرنے کے قابل ہو جائے گا، جب کہ CVE-2023-35311 حملہ آوروں کو مائیکروسافٹ آؤٹ لک سیکیورٹی نوٹس پرامپٹ کے ذریعے اپنے حملے کو چھپانے کا طریقہ فراہم کرتا ہے۔

"یہ نوٹ کرنا ضروری ہے کہ [CVE-2023-35311] خاص طور پر مائیکروسافٹ آؤٹ لک سیکیورٹی خصوصیات کو نظرانداز کرنے کی اجازت دیتا ہے اور ریموٹ کوڈ پر عمل درآمد یا استحقاق میں اضافے کو فعال نہیں کرتا ہے،" مائیک والٹرز، ایکشن1 میں خطرے اور خطرے کی تحقیق کے نائب صدر نے کہا۔ "لہذا، حملہ آور ممکنہ طور پر ایک جامع حملے کے لیے اسے دوسرے کارناموں کے ساتھ جوڑ سکتے ہیں۔ کمزوری 2013 سے مائیکروسافٹ آؤٹ لک کے تمام ورژنز کو متاثر کرتی ہے،" اس نے ڈارک ریڈنگ کو ایک ای میل میں نوٹ کیا۔

Immersive Labs میں سائبر خطرے کی تحقیق کے ڈائریکٹر Kev Breen نے دوسرے سیکورٹی بائی پاس صفر دن کا جائزہ لیا۔ - CVE-2023-32049 — ایک اور بگ کے طور پر جسے دھمکی دینے والے اداکار غالباً ایک وسیع حملے کے سلسلے کے حصے کے طور پر استعمال کریں گے۔

مائیکروسافٹ کے پیچ کے تازہ ترین سیٹ میں دو دیگر صفر دن دونوں استحقاق میں اضافے کو قابل بناتے ہیں۔ گوگل کے تھریٹ اینالیسس گروپ کے محققین نے ان میں سے ایک کو دریافت کیا۔ خرابی، کے طور پر ٹریک کیا CVE-2023-36874، ونڈوز ایرر رپورٹنگ (WER) سروس میں استحقاق کا مسئلہ ہے جو حملہ آوروں کو کمزور سسٹمز پر انتظامی حقوق حاصل کرنے کا ایک طریقہ فراہم کرتا ہے۔ ایک حملہ آور کو اس خامی سے فائدہ اٹھانے کے لیے متاثرہ نظام تک مقامی رسائی کی ضرورت ہوگی، جو وہ دوسرے استحصال یا اسناد کے غلط استعمال کے ذریعے حاصل کر سکتا ہے۔

"WER سروس مائیکروسافٹ ونڈوز آپریٹنگ سسٹمز میں ایک ایسی خصوصیت ہے جو خود کار طریقے سے مائیکروسافٹ کو غلطی کی رپورٹیں جمع کرتی ہے اور بھیجتی ہے جب کچھ سافٹ ویئر کریش ہو جاتا ہے یا دوسری قسم کی خرابیوں کا سامنا کرتا ہے،" ٹام بوئیر نے کہا، آٹوموکس کے سیکورٹی ریسرچر۔ انہوں نے کہا کہ "صفر دن کے اس خطرے کا فعال طور پر فائدہ اٹھایا جا رہا ہے، لہذا اگر آپ کی تنظیم WER کو استعمال کرتی ہے، تو ہم 24 گھنٹوں کے اندر پیچ کرنے کی تجویز کرتے ہیں،" انہوں نے کہا۔

جولائی کے سیکورٹی اپ ڈیٹ میں استحقاق کے بگ کی دوسری بلندی جس کا حملہ آور پہلے سے ہی فعال طور پر استحصال کر رہے ہیں CVE-2023-32046 مائیکروسافٹ کے ونڈوز MSHTM پلیٹ فارم میں، عرف "ٹرائیڈنٹ" براؤزر رینڈرنگ انجن۔ بہت سے دوسرے کیڑوں کی طرح، اس کو بھی صارف کے تعامل کی کچھ سطح کی ضرورت ہوتی ہے۔ ای میل حملے کے منظر نامے میں بگ سے فائدہ اٹھانے کے لیے، ایک حملہ آور کو ہدف بنائے گئے صارف کو ایک خاص طور پر تیار کردہ فائل بھیجنے اور صارف سے اسے کھولنے کی ضرورت ہوگی۔ مائیکروسافٹ نے کہا کہ ویب پر مبنی حملے میں، حملہ آور کو خاص طور پر تیار کی گئی فائل کی میزبانی کرنے کے لیے ایک بدنیتی پر مبنی ویب سائٹ - یا سمجھوتہ کرنے والی ویب سائٹ کا استعمال کرنے کی ضرورت ہوگی اور پھر کسی شکار کو اسے کھولنے کے لیے راضی کرنا ہوگا۔

ونڈوز روٹنگ میں RCEs، ریموٹ ایکسیس سروس

سیکورٹی محققین نے ونڈوز روٹنگ اور ریموٹ ایکسیس سروس (RRAS) میں تین RCE کمزوریوں کی طرف اشارہ کیا۔CVE-2023-35365, CVE-2023-35366، اور CVE-2023-35367) سب کی طرح ترجیحی توجہ کے طور پر۔ مائیکروسافٹ نے تینوں کمزوریوں کو اہم قرار دیا ہے اور تینوں کا CVSS سکور 9.8 ہے۔ یہ سروس ونڈوز سرور پر ڈیفالٹ کے طور پر دستیاب نہیں ہے اور بنیادی طور پر OS چلانے والے کمپیوٹرز کو راؤٹرز، VPN سرورز، اور ڈائل اپ سرورز کے طور پر کام کرنے کے قابل بناتی ہے، Automox's Bowyer نے کہا۔ "ایک کامیاب حملہ آور نیٹ ورک کنفیگریشنز میں ترمیم کر سکتا ہے، ڈیٹا چوری کر سکتا ہے، دوسرے زیادہ اہم/اہم سسٹمز میں جا سکتا ہے، یا ڈیوائس تک مسلسل رسائی کے لیے اضافی اکاؤنٹس بنا سکتا ہے۔"

شیئرپوائنٹ سرور کی خامیاں

مائیکروسافٹ کی بڑی جولائی کی تازہ کاری میں شیئرپوائنٹ سرور میں چار RCE خطرات کے لیے اصلاحات شامل ہیں، جو حال ہی میں ایک مقبول حملہ آور کا ہدف بن گیا ہے۔ مائیکروسافٹ نے دو کیڑے کو "اہم" قرار دیا (CVE-2023-33134 اور CVE-2023-33159) اور باقی دو بطور "تنقیدی" (CVE-2023-33157 اور CVE-2023-33160)۔ سلور فورٹ کے سینئر محقق یوو آئیلین نے کہا، "ان سب کے لیے حملہ آور کی تصدیق یا صارف کو ایسا عمل کرنے کی ضرورت ہوتی ہے جو خوش قسمتی سے خلاف ورزی کے خطرے کو کم کرتا ہے۔" "اس کے باوجود، جیسا کہ شیئرپوائنٹ حساس ڈیٹا پر مشتمل ہو سکتا ہے اور عام طور پر تنظیم کے باہر سے ظاہر ہوتا ہے، جو لوگ آن پریمیسس یا ہائبرڈ ورژن استعمال کرتے ہیں انہیں اپ ڈیٹ کرنا چاہیے۔"

جن تنظیموں کو ضوابط کی تعمیل کرنی ہے جیسے FEDRAMP، PCI، HIPAA، SOC2، اور اسی طرح کے ضوابط پر توجہ دینی چاہیے۔ CVE-2023-35332: سائیولو میں ریسرچ کے سربراہ ڈور ڈالی نے کہا کہ ونڈوز ریموٹ ڈیسک ٹاپ پروٹوکول سیکیورٹی فیچر بائی پاس کی خامی ہے۔ انہوں نے کہا کہ خطرے کا تعلق پرانے اور فرسودہ پروٹوکولز کے استعمال سے ہے، بشمول ڈیٹاگرام ٹرانسپورٹ لیئر سیکیورٹی (DTLS) ورژن 1.0، جو تنظیموں کے لیے خاطر خواہ سیکیورٹی اور تعمیل کا خطرہ پیش کرتا ہے۔ انہوں نے کہا کہ ایسے حالات میں جہاں کوئی تنظیم فوری طور پر اپ ڈیٹ نہیں کر سکتی، انہیں RDP گیٹ وے میں UDP سپورٹ کو غیر فعال کر دینا چاہیے۔

اس کے علاوہ ، مائیکرو سافٹ ایک مشیر شائع کیا مائیکروسافٹ کے تحت تصدیق شدہ ڈرائیوروں کو استعمال کرنے والے دھمکی آمیز اداکاروں کے بارے میں حالیہ رپورٹس کی تحقیقات پر's ونڈوز ہارڈ ویئر ڈیولپر پروگرام (MWHDP) پوسٹ ایکسپلائٹ سرگرمی میں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا