به‌روزرسانی امنیتی برنامه‌ریزی‌شده «پچ سه‌شنبه» مایکروسافت برای ماه فوریه شامل رفع دو آسیب‌پذیری امنیتی روز صفر تحت حمله فعال، به‌علاوه ۷۱ نقص دیگر در طیف گسترده‌ای از محصولاتش است.

در مجموع، پنج مورد از آسیب‌پذیری‌هایی که مایکروسافت وصله فوریه‌ای برای آن‌ها منتشر کرد، به عنوان بحرانی، 66 آسیب‌پذیری مهم و دو آسیب‌پذیری متوسط ​​رتبه‌بندی شدند.

La به روز رسانی شامل وصله ها است برای Microsoft Office، Windows، Microsoft Exchange Server، مرورگر Edge مبتنی بر Chromium، Azure Active Directory، Microsoft Defender برای Endpoint و Skype برای تجارت. Tenable 30 مورد از 73 CVE را شناسایی کرد به عنوان آسیب پذیری های اجرای کد از راه دور (RCE)؛ 16 به عنوان امکان افزایش امتیاز. 10 با خطاهای جعل مرتبط است. نه به عنوان فعال کردن حملات انکار سرویس توزیع شده. پنج به عنوان نقص افشای اطلاعات؛ و سه به عنوان مسائل دور زدن امنیتی.

آب Hydra با هدف قرار دادن معامله‌گران مالی در روزهای صفر

یک بازیگر تهدید به نام Water Hydra (معروف به دارک کازینو) در حال حاضر از یکی از آسیب‌پذیری‌های روز صفر استفاده می‌کند. ویژگی امنیتی Internet Shortcut Files آسیب پذیری را دور می زند ردیابی به عنوان CVE-2024-21412 (CVSS 8.1) - در کمپین مخربی که سازمان‌ها را در بخش مالی هدف قرار می‌دهد.

محققان Trend Micro - در میان چندین نفری که این نقص را کشف کردند و به مایکروسافت گزارش کردند - آن را به عنوان یک آسیب‌پذیری SmartScreen که قبلا اصلاح شده بود، توصیف کردند.CVE-2023-36025 ، CVSS 8.8) و تمام نسخه های ویندوز پشتیبانی شده را تحت تأثیر قرار می دهد. بازیگران Water Hydra از CVE-2024-21412 برای دسترسی اولیه به سیستم های متعلق به معامله گران مالی و حذف تروجان دسترسی از راه دور DarkMe بر روی آنها استفاده می کنند.

سعید عباسی، مدیر پژوهشگر آسیب‌پذیری در Qualys، در تفسیر ایمیلی گفت: برای سوء استفاده از این آسیب‌پذیری، یک مهاجم ابتدا باید یک فایل مخرب را به یک کاربر هدف تحویل دهد و او را وادار به باز کردن آن کند. عباسی گفت: «تأثیر این آسیب‌پذیری عمیق است، امنیت را به خطر می‌اندازد و اعتماد به مکانیسم‌های حفاظتی مانند SmartScreen را تضعیف می‌کند».

SmartScreen Bypass Zero-Day

روز صفر دیگری که مایکروسافت در به‌روزرسانی امنیتی این ماه فاش کرد، Defender SmartScreen را تحت تأثیر قرار می‌دهد. به گفته مایکروسافت، CVE-2024-21351 یک باگ با شدت متوسط ​​است که به مهاجم اجازه می‌دهد تا محافظ‌های SmartScreen را دور بزند و کد را به آن تزریق کند تا به طور بالقوه قابلیت‌های اجرای کد از راه دور را به دست آورد. مایکروسافت گفت که یک سوء استفاده موفق می تواند منجر به قرار گرفتن در معرض اطلاعات محدود، مشکلات در دسترس بودن سیستم یا هر دو شود. هیچ جزئیاتی در مورد اینکه دقیقاً چه کسی ممکن است از این باگ و برای چه هدفی استفاده کند در دسترس نیست.

در نظرات آماده شده برای Dark Reading، مایک والترز، رئیس و یکی از بنیانگذاران Action1، گفت که این آسیب پذیری به نحوه تعامل Mark of the Web مایکروسافت (ویژگی برای شناسایی محتوای غیرقابل اعتماد از اینترنت) با ویژگی SmartScreen مرتبط است. والترز گفت: «برای این آسیب‌پذیری، یک مهاجم باید یک فایل مخرب را بین یک کاربر توزیع کند و او را متقاعد کند که آن را باز کند و به آنها اجازه دهد تا بررسی‌های SmartScreen را دور بزنند و به طور بالقوه امنیت سیستم را به خطر بیندازند.

اشکالات با اولویت بالا

در میان پنج آسیب‌پذیری حیاتی در به‌روزرسانی فوریه، آسیب‌پذیری مورد توجه اولویت قرار دارد CVE-2024-21410یک آسیب‌پذیری افزایش امتیاز در Exchange Server، هدف مورد علاقه مهاجمان. مهاجم می‌تواند از این باگ برای افشای هش Net-New Technology LAN Manager (NTLM) نسخه ۲ کاربر مورد نظر استفاده کند و سپس آن اعتبار را به سرور Exchange آسیب‌دیده منتقل کند و به عنوان کاربر برای آن احراز هویت کند.

ساتنام نارنگ، مهندس تحقیقات ارشد کارکنان در Tenable در بیانیه‌ای گفت: نقص‌هایی مانند این که اطلاعات حساسی مانند هش‌های NTLM را افشا می‌کند، می‌تواند برای مهاجمان بسیار ارزشمند باشد. او گفت: "یک عامل تهدید مستقر در روسیه از آسیب پذیری مشابهی برای انجام حملات استفاده کرد - CVE-2023-23397 یک آسیب پذیری Elevation of Privilege در Microsoft Outlook است که در مارس 2023 وصله شده است."

Trend Micro گفت: برای رفع این نقص، مدیران Exchange باید اطمینان حاصل کنند که به‌روزرسانی تجمعی 2019 (CU14) Exchange Server 14 را نصب کرده‌اند و اطمینان حاصل کنند که ویژگی حفاظت توسعه‌یافته برای احراز هویت (EPA) فعال است. فروشنده امنیتی به یک اشاره کرد مقاله ای که مایکروسافت منتشر کرده است که اطلاعات بیشتری در مورد نحوه اصلاح آسیب پذیری ارائه می دهد.

مایکروسافت به CVE-2024-21410 امتیاز حداکثر 9.1 از 10 را اختصاص داده است که آن را به یک آسیب پذیری حیاتی تبدیل می کند. اما Kev Breen، مدیر ارشد تحقیقات تهدید در آزمایشگاه Immersive، گفت: اما معمولاً آسیب‌پذیری‌های افزایش امتیاز معمولاً در مقیاس درجه‌بندی آسیب‌پذیری CVSS امتیاز نسبتاً پایینی کسب می‌کنند که ماهیت واقعی تهدیدی را که ارائه می‌کنند رد می‌کند. برین در بیانیه‌ای گفت: «علیرغم امتیاز پایین، آسیب‌پذیری‌های [افزایش امتیازات] به‌شدت مورد توجه عوامل تهدید قرار می‌گیرند و تقریباً در هر حادثه سایبری استفاده می‌شوند. هنگامی که یک مهاجم از طریق مهندسی اجتماعی یا هر حمله دیگری به یک حساب کاربری دسترسی پیدا کند، در مرحله بعدی به دنبال افزایش مجوزهای خود به مدیر محلی یا سرپرست دامنه خواهد بود.

والترز از Action1 برجسته شد CVE-2024-21413، یک نقص RCE در Microsoft Outlook به عنوان یک آسیب پذیری که ممکن است مدیران بخواهند از دسته فوریه اولویت بندی کنند. نقص شدت بحرانی با امتیاز تقریباً حداکثر 9.8 شامل پیچیدگی حمله کم، عدم تعامل با کاربر، و هیچ امتیاز خاصی برای سوء استفاده مهاجم از آن نیست. والترز می‌گوید: «یک مهاجم می‌تواند از طریق صفحه پیش‌نمایش در Outlook از این آسیب‌پذیری سوء استفاده کند، و به آن‌ها اجازه می‌دهد تا View Protected Office را دور بزنند و فایل‌ها را مجبور کنند در حالت ویرایش باز شوند، نه در حالت محافظت شده امن‌تر».

خود مایکروسافت این آسیب‌پذیری را به عنوان چیزی که مهاجمان کمتر به آن حمله می‌کنند شناسایی کرده است. با این وجود، والترز گفت که این آسیب‌پذیری تهدیدی اساسی برای سازمان‌ها است و نیاز به توجه فوری دارد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs