مرکز مدیریت راهبردی افتا: مایکروسافت اطلاعیهای برای اصلاحیههای امنیتی ماه دسامبر محصولات این شرکت منشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجموعه
اصلاحیههای امنیتی مایکروسافت برای ماه دسامبر منتشر و درجه اهمیت شش مورد از آسیبپذیریهای ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
● «ترفیع اختیارات» (Elevation of Privilege)
● «اجرای کد از راه دور» (Remote Code Execution)
● «افشای اطلاعات» (Information Disclosure)
● «منع سرویس» (Denial of Service - به اختصار DoS)
● «دور زدن مکانیزم امنیتی» (Security Feature Bypass)
● «جعل» (Spoofing)
سه مورد از آسیبپذیریهای ترمیم شده این ماه (شناسههای CVE-2022-44698، CVE-2022-44710 و CVE-2022-41043)، از نوع «روز-صفر» است و یک مورد آن (CVE-2022-44698) به طور گسترده در حملات مورد سوءاستفاده قرار گرفته است.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده و جزییات آنها بهطور عمومی منتشر شده است و یا در مواقعی مهاجمان از آنها سوءاستفاده کردهاند.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز صفر میپردازیم که در ماه میلادی دسامبر ۲۰۲۲ توسط شرکت مایکروسافت ترمیم شدهاند:
● CVE-2022-44698: این آسیبپذیری روز صفر دارای درجه اهمیت «متوسط» (Medium) بوده و از نوع «دور زدن مکانیزم امنیتی» است و Windows SmartScreen از آن متاثر میشود. مهاجم برای سوءاستفاده از این ضعف امنیتی اقدام به ایجاد یک فایل مخرب JavaScript با امضای جعلی میکند. این فایل راهکار دفاعی Windows به نام Mark of the Web - به اختصار MotW - را دور میزند و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگیهای امنیتی نظیر Protected View در Microsoft Office میشود که بر MotW متکی است.
مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی برای توزیع بدافزارهایی نظیر تروجان QBot و باجافزار Magniber سوءاستفاده کردند.
● CVE-2022-44710: این ضعف امنیتی که به طور عمومی افشاء شده، دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است. این ضعف امنیتی بر DirectX Graphics Kernel تاثیر میگذارد. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن است؛ سوءاستفاده موفق از آن، مهاجم را قادرمیکند در سطح SYSTEM امتیازات کسب کند.
● CVE-2022-41043: آخرین آسیبپذیری ترمیم شده در دسامبر ۲۰۲۲ که کد سوءاستفاده از آن به طور عمومی منتشر شده از نوع «افشا اطلاعات» است و Microsoft Office از آن متاثر میشود. سوءاستفاده از این ضعف امنیتی نیازمند احراز هویت مهاجم است و او را قادر به دستیابی به Token مربوط به کاربر و سایر اطلاعات حساس میکند.
شش مورد از آسیبپذیریهای ترمیم شده این ماه دارای درجه اهمیت «حیاتی» است که در ادامه به بررسی جزئیات این ضعفهای امنیتی میپردازیم.
● CVE-2022-44690 و CVE-2022-44693: هر دو ضعفهای امنیتی مربوط به Server Microsoft SharePoint در این ماه دارای شدت ۸.۸ از ۱۰ (بر طبق استاندارد CVSS) و درجه اهمیت «حیاتی» است. در هر دو مورد، در جریان یک حمله مبتنی بر شبکه، یک مهاجم احراز هویت شده میتواند از طریق مجوزهای Manage List کد مخرب را از راه دور بر روی SharePoint Server اجرا کند.
● CVE-2022-41076: این آسیبپذیری «حیاتی» از نوع «اجرای کد از راه دور» است و PowerShell را در شرایطی خاص تحت تاثیر قرار میدهد. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را «زیاد» اعلام کرده است و هر مهاجم احراز هویت شده میتواند از این آسیبپذیری سوءاستفاده کند و سطح دسترسی ممتازی مورد نیاز نیست. سوءاستفاده موفق از این آسیبپذیری، مهاجم را قادر میسازد تا پیکربندی PowerShell Remoting Session را دور زده و دستورات دلخواه را بر روی سیستم آسیبپذیر اجرا کند.
● CVE-2022-41127: دیگر ضعف امنیتی «حیاتی» است کهMicrosoft Dynamics NAV و Microsoft Dynamics ۳۶۵ Business Central (On Premises) از آن متاثر میشوند. سوءاستفاده موفق از این آسیبپذیری مستلزم احراز هویت مهاجم است.
● CVE-2022-44670 و CVE-2022-44676: آخرین ضعفهای امنیتی «حیاتی» ترمیم شده در ماه دسامبر ۲۰۲۲ از نوع «اجرای کد از راه دور» است و Windows Secure Socket Tunneling Protocol - به اختصار SSTP – از آنها متاثر میشود. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به اجرای کد از راه دور است؛ یک مهاجم احراز هویت نشده میتواند با ارسال یک درخواست دستکاری شده ویژه برای اتصال به سرور RAS، منجر به اجرای کد از راه دور در سرور RAS شود.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای ماه میلادی دسامبر ۲۰۲۲ مایکروسافت، در فایل پیوست قابل مطالعه است.