جدیدترین آسیب پذیری های امنیتی 2023 در مایکروسافت

همانطور که تکنولوژی به تکامل خود ادامه می دهد، چشم انداز تهدیدات سایبری نیز تغییر می کند. همگام بودن با آخرین آسیب پذیری های امنیتی برای تیم های امنیتی و فناوری بسیار مهم است. در ادامه به مهم ترین آسیب پذیری های امنیتی سال 2023  مایکروسافت می پردازیم.  

آسیب پذیری CVE-2023-23376

CVE-2023-23376 یک آسیب پذیری EoP در سیستم عامل های ویندوز است، دارای درجه اهمیت زیاد بوده و از نوع افزایش سطح دسترسی است که دارای امتیاز CVSSv3 7.8 است. این آسیب‌پذیری در درایور Common Log File System (CLFS) وجود دارد، یک سرویس گزارش‌گیری که توسط برنامه‌های حالت هسته و حالت کاربر استفاده می‌شود. این آسیب‌پذیری می‌تواند پس از دسترسی مهاجم به یک هدف آسیب‌پذیر به منظور ارتقای امتیازات SYSTEM مورد سوء استفاده قرار گیرد. در سال 2022، مایکروسافت دو آسیب‌پذیری EoP را در CLFS، CVE-2022-37969 و CVE-2022-24521 اصلاح کرد که در Wild نیز مورد سوء استفاده قرار می‌گرفتند.

آسیب پذیری CVE-2023-21529, CVE-2023-21706, CVE-2023-21707 and CVE-2023-21710

CVE-2023-21529، CVE-2023-21706، CVE-2023-21707 و CVE-2023-21710 آسیب پذیری های RCE در نسخه های پشتیبانی شده Microsoft Exchange Server هستند. CVE-2023-21710 امتیاز CVSSv3 7.2 را دریافت کرد در حالی که به سه CVE دیگر امتیاز CVSSv3 8.8 اختصاص داده شد. این آسیب‌پذیری‌ها به مهاجم از راه دور اجازه می‌دهد تا از طریق تماس شبکه، کد دلخواه را روی سرور آسیب‌پذیر اجرا کند.

CVE-2023-21529، CVE-2023-21706، CVE-2023-21707 در شاخص بهره‌برداری مایکروسافت رتبه‌بندی «احتمال بیشتر بهره‌برداری» داده شد. CVE-2023-21529، CVE-2023-21706 و CVE-2023-21707 شباهت هایی با CVE-2022-41082 دارند، یک RCE احراز هویت شده که در سپتامبر 2022 به طور عمومی فاش شد و بخشی از ProxyNotShell Variant حمله زنجیره ای Proxy بود. زنجیره ای در آگوست 2021 کشف شد. مایکروسافت در ماه سپتامبر اقدامات کاهشی را برای محافظت از سرورهای آسیب پذیر منتشر کرد تا اینکه یک وصله در Patch نوامبر 2022 منتشر شد. یک دور زدن از این کاهش، به نام OWASSRF (CVE-2022-41080)، سپس در دسامبر 2022 منتشر شد.

آسیب پذیری CVE-2023-21689, CVE-2023-21690 and CVE-2023-21692

CVE-2023-21689، CVE-2023-21690 و CVE-2023-21692 آسیب پذیری های RCE در سیستم عامل های ویندوز هستند و امتیاز CVSSv3 9.8 به آنها داده شده است. نقص در مؤلفه سرور پروتکل تأیید اعتبار توسعه‌ یافته محافظت شده (PEAP) است که برای برقراری ارتباط امن با کلاینت‌های بی‌سیم استفاده می‌شود. بهره برداری موفقیت آمیز به مهاجم از راه دور و احراز هویت نشده اجازه می دهد تا کد دلخواه را اجرا کند. برای اینکه یک هدف آسیب پذیر باشد، باید سرور خط مشی شبکه را اجرا کرده و با خط مشی شبکه ای پیکربندی شده باشد که به PEAP اجازه می دهد. هر سه آسیب‌پذیری طبق توصیه‌ هایشان به‌عنوان «احتمال بهره‌برداری بیشتر» رتبه‌بندی شدند.

RCE دیگری که بر PEAP تأثیر می گذارد، CVE-2023-21695، نیز در این ماه وصله شده است. با این حال، بهره برداری برای این نقص نیاز به احراز هویت دارد. هر چهار مورد از این CVE را می توان با استفاده از یک بسته PEAP دستکاری شده ارسال شده به یک میزبان بدون وصله مورد سوء استفاده قرار داد.

آسیب پذیری CVE-2023-21823

CVE-2023-21823 یک آسیب پذیری EoP در مؤلفه گرافیکی Microsoft Windows است. دارای درجه اهمیت زیاد و از نوع اجرای کد از راه دور است و امتیاز CVSSv3 7.8 دریافت کرده و به عنوان روز صفر مورد بهره برداری قرار گرفت. بهره برداری از این نقص مستلزم ورود مهاجم به سیستم آسیب پذیر و اجرای یک برنامه کاربردی ساخته شده خاص است. بهره برداری موفقیت آمیز به مهاجم این توانایی را می دهد که فرآیندها را در یک زمینه بالا اجرا کند. در حالی که جزئیات به اشتراک گذاشته نشده است، این نقص به محققان Genwei Jiang و Dhanesh Kizhakkinan از Mandiant نسبت داده شده است.

آسیب پذیری CVE-2023-21715

CVE-2023-21715 یک آسیب‌پذیری دارای درجه اهمیت زیاد می باشد و یک آسیب پذیری امنیتی بای پس در مایکروسافت آفیس است که امتیاز CVSSv3 7.3 را دریافت کرد و از نوع دورزدن مکانیزم‌های امنیتی می باشد. برای اینکه این آسیب‌پذیری مورد سوء استفاده قرار گیرد، به یک کاربر محلی و تایید شده نیاز دارد تا فایل ایجاد شده توسط مهاجم را روی یک سیستم آسیب‌پذیر دانلود و باز کند. یک مهاجم باید کاربر را برای دانلود و اجرای فایل ترغیب کند تا بتواند با موفقیت از این نقص سوء استفاده کند.

آسیب پذیری CVE-2023-21716

بحرانی: CVE-2023-21716 یک آسیب پذیری RCE در چندین نسخه از Microsoft Word، Sharepoint، 365 Apps و Office برای Mac با امتیاز CVSSv3 9.8 است. اگرچه جزء آسیب پذیر مشخص نشده است، مایکروسافت بیان می کند که پنل پیش نمایش در این برنامه ها یک بردار حمله است. این آسیب‌پذیری می‌تواند توسط یک مهاجم تایید نشده که ایمیلی با فرمت متن غنی (RTF) ارسال می‌کند، مورد سوء استفاده قرار گیرد که پس از باز شدن، امکان اجرای دستور را فراهم می‌کند.

توصیه مایکروسافت برای این CVE به MS08-026 و KB922849 برای راهنمایی در مورد نحوه جلوگیری از باز کردن اسناد RTF از منابع ناشناخته یا نامعتبر توسط Microsoft Office با استفاده از خط مشی بلوک فایل Microsoft Office، پیوند دارد.

برخی از آسیب‌پذیری‌های امنیتی برتر سال 2022

بعد از اینکه به آسیب پذیری های امنیتی 2023 مایکروسافت پرداختیم حال به سراغ مهم ترین آسیب پذیری های امنیتی 2022 می رویم:

آسیب پذیری CVE-2022-30190

این نقص روز صفر در کنترل‌کننده‌های URL داخلی MS (ms-msdt:) شناسایی شد که فرآیند ابزار تشخیصی پشتیبانی مایکروسافت (MSDT) مورد استفاده برای اجرای کد روی سیستم مورد نظر را آغاز می‌کرد. این آسیب‌پذیری را «Follina» به نام شهر ایتالیایی نامگذاری کرد که کد منطقه‌ای آن (0438) با اعداد نوشته شده در نام فایل نمونه بدافزار (05-2022-0438.doc) مطابقت داشت. حتی اگر ماکروها به طور کامل خاموش شوند، می توان از این باگ سوء استفاده کرد.

راه حل: راه حل این است که ورودی رجیستری که باعث این اتفاق می شود را حذف کنید.

آسیب پذیری CVE-2021-44228

این آسیب پذیری از دسامبر 2021 شروع شلوغ سال 2022 را برای تیم های امنیتی تضمین کرد. یک آسیب‌پذیری روز صفر بر نسخه‌های Log4j2 >= 2.0-beta9 و <= 2.15.0 تأثیر می‌گذارد، که به مهاجم اجازه می‌دهد کد دلخواه را بر روی یک سیستم آسیب‌پذیر از طریق پیام‌های گزارش ایجاد شده خاص اجرا کند. بهره برداری موفقیت آمیز (اجرای کد از راه دور) از این موضوع منجر به امتیازات در سطح سیستم شد.

راه حل: مطمئن شوید که به Log4j 2.3.2 (برای جاوا 6)، 2.12.4 (برای جاوا 7) یا 2.17.1 (برای جاوا 8 و جدیدتر) ارتقا داده اید.

 آسیب پذیری CVE-2022-22965

Spring4shell بر روی برنامه‌های فریمورک فنری که نسخه‌های JDK 9+ را اجرا می‌کنند و از قابلیت داده‌یابی استفاده می‌کنند، تأثیر می‌گذارد و به مهاجم اجازه می‌دهد تا اجرای کد از راه دور تأیید نشده (RCE) را اجرا کند.

راه حل: این آسیب پذیری در نسخه 2.6.6 رفع شده است.

آسیب پذیری CVE-2022-1388

نقص CVE-2022-1388 اجرای کد از راه دور را در سیستم‌ها با استفاده از نسخه‌های آسیب‌دیده F5 BIG-IP که iControl REST API را اجرا می‌کنند، امکان‌پذیر می‌کند و به مهاجم کنترل کامل روی این سرورها را می‌دهد. رتبه‌بندی اولویت آسیب‌پذیری برای این اشکال به دلیل ماهیت عمومی بودن این سرویس و نرخ بالای بهره‌برداری همراه با ماهیت موضوع (دور زدن احراز هویت) بحرانی ارزیابی شد.

راه حل: وصله فروشنده را که در 4 مه 2022 منتشر شد، اعمال کنید.

آسیب پذیری CVE-2022-0609

در نسخه‌های آسیب‌دیده Google chrome (قبل از 98.0.4758.102)، یک مهاجم از راه دور ممکن است از استفاده پس از رایگان شدن در یک انیمیشن از طریق یک صفحه HTML ساخته‌شده سوء استفاده کند. کاربر پس از آزاد، نوعی نقص خرابی حافظه است که در آن یک برنامه پس از آزاد شدن (تخصیص) حافظه مرتبط، به استفاده از آدرس حافظه ادامه می‌دهد.

راه حل: چهار روز بعد، گوگل یک به روز رسانی برای این نقص منتشر کرد.

آسیب پذیری های CVE-2022-41040 and CVE-2022-41082

اولین مورد از این دو باگ، CVE-2022-41040، یک آسیب‌پذیری SSRF (جعل درخواست‌های سمت سرور) است. هنگامی که مورد سوء استفاده قرار می گیرد، به یک کاربر احراز هویت اجازه می دهد تا از راه دور CVE-2022-41082 را راه اندازی کند، که به RCE اجازه می دهد زمانی که PowerShell برای یک عامل تهدید در دسترس است. هر دو آسیب‌پذیری بخشی از جریان حمله هستند و برای بهره‌برداری به یک جلسه تأیید شده (مدارک کاربری استاندارد ایمیل) نیاز دارند.

راه حل: این آسیب‌پذیری در به‌روزرسانی‌های نوامبر ۲۰۲۲ برطرف شد. پیکربندی بازنویسی URL را می توان با استفاده از این ابزار برای سرورهای MS Exchange در محل به دست آورد.

آسیب پذیری CVE-2022-27925 and CVE-2022-41352

پیوست‌ها یا پیوندهای ساخته‌شده که به آن‌ها امکان دسترسی به فایل‌ها یا حساب‌های کاربری یک سیستم آسیب‌پذیر را می‌دهد. CVE-2022-27925 مربوط به یک آسیب‌پذیری RCE در ZCS است که در مارس 2022 اصلاح شد. در صورت استفاده از ابزار pax (بیش از cpio)، سیستم آسیب‌دیده نمی‌تواند مورد سوء استفاده قرار گیرد زیرا amavisd (موتور AV Zimbra) pax را ترجیح می‌دهد و pax در برابر این مشکل آسیب‌پذیر نیست.

راه حل: برای نصب pax، که ابزار ترجیحی نسبت به cpio است، توصیه‌های صفحه mitigation wiki را دنبال کنید.

آسیب پذیری CVE-2022-26134

از آنجایی که این نقص همه نسخه‌های پشتیبانی‌شده سرور تلاقی را تحت تأثیر قرار می‌دهد، این آسیب‌پذیری در حوزه رمزنگاری سودمند و سایر بدافزارها مورد سوء استفاده قرار گرفت. چندین اثبات مفاهیم در GitHub برای بهره‌برداری از این آسیب‌پذیری حیاتی و غیرقانونی تزریق کد از راه دور OGNL که سرور Confluence و مرکز داده را تحت تأثیر قرار می‌داد، در دسترس بود.

راه حل: این باگ در نسخه های Confluence 7.4.17، 7.13.7، 7.14.3، 7.15.2، 7.16.4، 7.17.4 و 7.18.1 رفع شده است.

آسیب پذیری CVE-2022-30525

یک تزریق فرمان از راه دور تأیید نشده توسط Rapid7 شناسایی شد که فایروال‌های Zyxel را تحت تأثیر قرار داد که از ZTP (ATP، vpn، USG flex series) پشتیبانی می‌کردند. این نقص به یک مهاجم بدون احراز هویت و از راه دور اجازه می‌دهد تا به اجرای کد دلخواه به عنوان کاربر هیچ‌کس در دستگاه آسیب‌دیده دست یابد.

راه حلZyxel : نسخه جدید سیستم عامل ZLD V5.30 را برای رفع این مشکل منتشر کرد.

مدیریت وصله مبتنی بر رویکرد ریسک به محافظت از سازمان‌ها در برابر نقص‌های احتمالی که عوامل مخرب به دنبال بهره‌برداری سریع هستند، کمک می‌کند. باید اطمینان حاصل کنید که این آسیب‌پذیری‌ها در طول تمرین‌های تست خودکار داخلی شما شناسایی می‌شوند و طرح‌های اصلاح خطر به‌طور کامل مورد بحث قرار می‌گیرند تا فاصله حداقلی بین شناسایی و اصلاح باقی بماند. اینها تنها تعدادی از آسیب پذیری های امنیتی بسیاری است که سازمان ها در طول سال 2022 با آنها مواجه بوده اند.

منبع: هیواشبکه