بهروزرسانی امنیتی برنامهریزیشده «پچ سهشنبه» مایکروسافت برای ماه فوریه شامل رفع دو آسیبپذیری امنیتی روز صفر تحت حمله فعال، بهعلاوه ۷۱ نقص دیگر در طیف گستردهای از محصولاتش است.
در مجموع، پنج مورد از آسیبپذیریهایی که مایکروسافت وصله فوریهای برای آنها منتشر کرد، به عنوان بحرانی، 66 آسیبپذیری مهم و دو آسیبپذیری متوسط رتبهبندی شدند.
La به روز رسانی شامل وصله ها است برای Microsoft Office، Windows، Microsoft Exchange Server، مرورگر Edge مبتنی بر Chromium، Azure Active Directory، Microsoft Defender برای Endpoint و Skype برای تجارت. Tenable 30 مورد از 73 CVE را شناسایی کرد به عنوان آسیب پذیری های اجرای کد از راه دور (RCE)؛ 16 به عنوان امکان افزایش امتیاز. 10 با خطاهای جعل مرتبط است. نه به عنوان فعال کردن حملات انکار سرویس توزیع شده. پنج به عنوان نقص افشای اطلاعات؛ و سه به عنوان مسائل دور زدن امنیتی.
آب Hydra با هدف قرار دادن معاملهگران مالی در روزهای صفر
یک بازیگر تهدید به نام Water Hydra (معروف به دارک کازینو) در حال حاضر از یکی از آسیبپذیریهای روز صفر استفاده میکند. ویژگی امنیتی Internet Shortcut Files آسیب پذیری را دور می زند ردیابی به عنوان CVE-2024-21412 (CVSS 8.1) - در کمپین مخربی که سازمانها را در بخش مالی هدف قرار میدهد.
محققان Trend Micro - در میان چندین نفری که این نقص را کشف کردند و به مایکروسافت گزارش کردند - آن را به عنوان یک آسیبپذیری SmartScreen که قبلا اصلاح شده بود، توصیف کردند.CVE-2023-36025 ، CVSS 8.8) و تمام نسخه های ویندوز پشتیبانی شده را تحت تأثیر قرار می دهد. بازیگران Water Hydra از CVE-2024-21412 برای دسترسی اولیه به سیستم های متعلق به معامله گران مالی و حذف تروجان دسترسی از راه دور DarkMe بر روی آنها استفاده می کنند.
سعید عباسی، مدیر پژوهشگر آسیبپذیری در Qualys، در تفسیر ایمیلی گفت: برای سوء استفاده از این آسیبپذیری، یک مهاجم ابتدا باید یک فایل مخرب را به یک کاربر هدف تحویل دهد و او را وادار به باز کردن آن کند. عباسی گفت: «تأثیر این آسیبپذیری عمیق است، امنیت را به خطر میاندازد و اعتماد به مکانیسمهای حفاظتی مانند SmartScreen را تضعیف میکند».
SmartScreen Bypass Zero-Day
روز صفر دیگری که مایکروسافت در بهروزرسانی امنیتی این ماه فاش کرد، Defender SmartScreen را تحت تأثیر قرار میدهد. به گفته مایکروسافت، CVE-2024-21351 یک باگ با شدت متوسط است که به مهاجم اجازه میدهد تا محافظهای SmartScreen را دور بزند و کد را به آن تزریق کند تا به طور بالقوه قابلیتهای اجرای کد از راه دور را به دست آورد. مایکروسافت گفت که یک سوء استفاده موفق می تواند منجر به قرار گرفتن در معرض اطلاعات محدود، مشکلات در دسترس بودن سیستم یا هر دو شود. هیچ جزئیاتی در مورد اینکه دقیقاً چه کسی ممکن است از این باگ و برای چه هدفی استفاده کند در دسترس نیست.
در نظرات آماده شده برای Dark Reading، مایک والترز، رئیس و یکی از بنیانگذاران Action1، گفت که این آسیب پذیری به نحوه تعامل Mark of the Web مایکروسافت (ویژگی برای شناسایی محتوای غیرقابل اعتماد از اینترنت) با ویژگی SmartScreen مرتبط است. والترز گفت: «برای این آسیبپذیری، یک مهاجم باید یک فایل مخرب را بین یک کاربر توزیع کند و او را متقاعد کند که آن را باز کند و به آنها اجازه دهد تا بررسیهای SmartScreen را دور بزنند و به طور بالقوه امنیت سیستم را به خطر بیندازند.
اشکالات با اولویت بالا
در میان پنج آسیبپذیری حیاتی در بهروزرسانی فوریه، آسیبپذیری مورد توجه اولویت قرار دارد CVE-2024-21410یک آسیبپذیری افزایش امتیاز در Exchange Server، هدف مورد علاقه مهاجمان. مهاجم میتواند از این باگ برای افشای هش Net-New Technology LAN Manager (NTLM) نسخه ۲ کاربر مورد نظر استفاده کند و سپس آن اعتبار را به سرور Exchange آسیبدیده منتقل کند و به عنوان کاربر برای آن احراز هویت کند.
ساتنام نارنگ، مهندس تحقیقات ارشد کارکنان در Tenable در بیانیهای گفت: نقصهایی مانند این که اطلاعات حساسی مانند هشهای NTLM را افشا میکند، میتواند برای مهاجمان بسیار ارزشمند باشد. او گفت: "یک عامل تهدید مستقر در روسیه از آسیب پذیری مشابهی برای انجام حملات استفاده کرد - CVE-2023-23397 یک آسیب پذیری Elevation of Privilege در Microsoft Outlook است که در مارس 2023 وصله شده است."
Trend Micro گفت: برای رفع این نقص، مدیران Exchange باید اطمینان حاصل کنند که بهروزرسانی تجمعی 2019 (CU14) Exchange Server 14 را نصب کردهاند و اطمینان حاصل کنند که ویژگی حفاظت توسعهیافته برای احراز هویت (EPA) فعال است. فروشنده امنیتی به یک اشاره کرد مقاله ای که مایکروسافت منتشر کرده است که اطلاعات بیشتری در مورد نحوه اصلاح آسیب پذیری ارائه می دهد.
مایکروسافت به CVE-2024-21410 امتیاز حداکثر 9.1 از 10 را اختصاص داده است که آن را به یک آسیب پذیری حیاتی تبدیل می کند. اما Kev Breen، مدیر ارشد تحقیقات تهدید در آزمایشگاه Immersive، گفت: اما معمولاً آسیبپذیریهای افزایش امتیاز معمولاً در مقیاس درجهبندی آسیبپذیری CVSS امتیاز نسبتاً پایینی کسب میکنند که ماهیت واقعی تهدیدی را که ارائه میکنند رد میکند. برین در بیانیهای گفت: «علیرغم امتیاز پایین، آسیبپذیریهای [افزایش امتیازات] بهشدت مورد توجه عوامل تهدید قرار میگیرند و تقریباً در هر حادثه سایبری استفاده میشوند. هنگامی که یک مهاجم از طریق مهندسی اجتماعی یا هر حمله دیگری به یک حساب کاربری دسترسی پیدا کند، در مرحله بعدی به دنبال افزایش مجوزهای خود به مدیر محلی یا سرپرست دامنه خواهد بود.
والترز از Action1 برجسته شد CVE-2024-21413، یک نقص RCE در Microsoft Outlook به عنوان یک آسیب پذیری که ممکن است مدیران بخواهند از دسته فوریه اولویت بندی کنند. نقص شدت بحرانی با امتیاز تقریباً حداکثر 9.8 شامل پیچیدگی حمله کم، عدم تعامل با کاربر، و هیچ امتیاز خاصی برای سوء استفاده مهاجم از آن نیست. والترز میگوید: «یک مهاجم میتواند از طریق صفحه پیشنمایش در Outlook از این آسیبپذیری سوء استفاده کند، و به آنها اجازه میدهد تا View Protected Office را دور بزنند و فایلها را مجبور کنند در حالت ویرایش باز شوند، نه در حالت محافظت شده امنتر».
خود مایکروسافت این آسیبپذیری را به عنوان چیزی که مهاجمان کمتر به آن حمله میکنند شناسایی کرده است. با این وجود، والترز گفت که این آسیبپذیری تهدیدی اساسی برای سازمانها است و نیاز به توجه فوری دارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs