بررسی آسیب‌پذیری‌ های اصلاح‌ شده مایکروسافت

در روز سه شنبه 9 Aug 2022 (18 مرداد ماه)، شرکت مایکروسافت اصلاحیه امنیتی خود را برای مجموعه آسیب‌پذیری‌های کشف شده منتشر کرد. در این آپدیت‌ها، 118 مورد آسیب‌پذیری ترمیم شده است که 17 مورد دارای درجه اهمیت حیاتی (critical) و 101 مورد از آن‌ها دارای درجه مهم (important) است.

فراوانی موضوعات عنوان شده طی این گزارش به صورت زیر تقسیم شده است:

• 64 مورد با موضوع ترفیع سطح دسترسی (Elevation of Privilege)
• 31 مورد با موضوع اجرای کد از راه دور (Remote Code Execution)
• 12 مورد با موضوع افشای اطلاعات (Information Disclosure)
• 7 مورد با موضوع از دسترس خارج کردن سرویس‌دهی (Denial of Service)
• 3 مورد با موضوع عبور از امکانات امنیتی (Security Feature Bypass)
• 1 مورد با موضوع جعل هویت (spoofing)

همچنین عنوان شده است که اصلاحیه‌های امنیتی ارائه شده، به تفکیک مربوط به سرویس‌های زیر در ویندوز است:

• .NET Core
• Active Directory Domain Services
• Azure Batch Node Agent
• Azure Real Time Operating System
• Azure Site Recovery
• Azure Sphere
• Microsoft ATA Port Driver
• Microsoft Bluetooth Driver
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Windows Support Diagnostic Tool (MSDT)
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Fax Service
• Role: Windows Hyper-V
• System Center Operations Manager
• Visual Studio
• Windows Bluetooth Service
• Windows Canonical Display Driver
• Windows Cloud Files Mini Filter Driver
• Windows Defender Credential Guard
• Windows Digital Media
• Windows Error Reporting
• Windows Hello
• Windows Internet Information Services
• Windows Kerberos
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Network File System
• Windows Partition Management Driver
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Secure Boot
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Storage Spaces Direct
• Windows Unified Write Filter
• Windows WebBrowser Control
• Windows Win32K

آسیب پذیری های روز صفر

مطابق گزارش‌های اعلامی مایکروسافت، دو مورد از آسیب پذیری های برطرف شده، از نوع آسیب پذیری های “روز صفر” است. آسیب پذیری های روز صفر به باگ‌هایی اشاره دارند که توسط باگ-هانترها، برای اولین بار بر روی سرویس‌ها کشف شده‌اند و حتی مورد سواستفاده نیز قرار گرفته‌اند. البته این آسیب پذیری ها قبلا توسط توسعه‌دهندگان رسمی آن محصول شناسایی نشده‌، در برنامه ترمیم یا اصلاح قرار نداشته‌. پس از کشف توسط هانترها به صورت عمومی و با جزئیات، ارائه و برطرف شده‌اند.

این دو آسیب پذیری با شناسه‌های CVE-2022-34713 و CVE-2022-30134 ، دارای درجه اهمیت “مهم” اصلاح شده اند. آسیب پذیری CVE-2022-34713 از دسته آسیب پذیری های “اجرای کد از راه دور” است که گزاشات مرتبط با آن نشان می دهند که به طور گسترده مورد استفاده قرار گرفته است. همچنین آسیب پذیری CVE-2022-30134 نیز از نوع “افشای اطلاعات” می باشد که اعلام شده است، مورد سو استفاده خاصی قرار نگرفته است.

آسیب پذیری های با درجه اهمیت “حیاتی”

در ادامه به بررسی جزئیات برخی از آسیب پذیری های اصلاح شده با درجه اهمیت “حیاتی” می‌پردازیم.

لیست هفده مورد آسیب پذیری “حیاتی” به همراه لینک شناسه ‌آن‌ها به صورت زیر است:

• CVE-2022-34691
• CVE-2022-33646
• CVE-2022-21980
• CVE-2022-24516
• CVE-2022-24477
• CVE-2022-35752
• CVE-2022-35753
• CVE-2022-34696
• CVE-2022-35804
• CVE-2022-30133
• CVE-2022-35744
• CVE-2022-35745
• CVE-2022-35766
• CVE-2022-35794
• CVE-2022-34714
• CVE-2022-34702
• CVE-2022-35767

CVE-2022-21980، CVE-2022-24516 و CVE-2022-24477 آسیب پذیری های دسته “ترفیع اختیارات” در Microsoft Exchange Server هستند. مایکروسافت یک پست وبلاگ برای این بروزرسانی در Exchange Server منتشر کرده است.

هر سه مورد این ضعف‌ها، امتیاز CVSSv3 8.0 را دریافت کردند و براساس شاخص بهره‌برداری مایکروسافت امتیاز “احتمال سواستفاده” بالایی را دریافت کرده‌اند. Tianze Ding با آزمایشگاه امنیت Tencent Xuanwu ضمن کشف این آسیب پذیری ها اعتبار زیادی کسب کرد.

هر سه این آسیب‌پذیری ها برای بهره‌برداری و سواستفاده نیاز به احراز هویت و تعامل کاربر دارند. به عنوان مثال: مهاجم باید هدف را برای بازدید از یک صفحه فیشینگ خاص و دستکاری سرور Exchange، ترغیب کند.

مایکروسافت همچنین خاطر نشان می‌کند که ویژگی Extended Protection باید برای کاهش کامل این آسیب پذیری ها فعال شود.

راهنمایی مرتبط با این ویژگی را می‌توانید اینجا مطالعه کنید.

CVE-2022-35755 و CVE-2022-35793 آسیب‌پذیری‌های دسته “ترفیع اختیارات” در مؤلفه‌های Windows Print Spooler هستند که هر دو امتیاز CVSSv3 7.3 را دریافت کردند و در مایکروسافت با «احتمال زیاد بهره‌برداری» رتبه‌بندی شدند. این آسیب‌پذیری‌ها توسط Xuefeng Li  کشف شد که سابقه طولانی در افشای نقص‌های  Print Spooler دارد.

CVE-2022-35755 را می‌توان با استفاده از یک “فایل ورودی” مورد سوء استفاده قرار داد، در حالی که بهره‌برداری از CVE-2022-35793 نیاز به کلیک کاربر روی یک URL ساخته شده خاص دارد.

نکته اینجاست که هر دو ضعف، به مهاجم دسترسی SYSTEM را می‌دهند.

هر دو آسیب‌پذیری را می‌توان با غیرفعال کردن سرویس Print Spooler کاهش داد، اختصاصا CVE-2022-35793 را نیز می‌توان با غیرفعال کردن ویژگی چاپ ورودی از راه دور و از طریق Group Policy کاهش داد.

CVE-2022-34691 یک آسیب پذیری EOP (ترفیع اختیارات) است که بر روی سرویس Active Directory تأثیر می‌گذارد. این آسیب پذیری امتیاز 8.8 CVSSv3 را دریافت کرده است و می‌تواند توسط یک مهاجم احراز هویت شده برای دستکاری ویژگی‌های حساب‌ها و احتمالاً دریافت گواهی از Active Directory Certificate Services مورد سوء استفاده قرار گیرد.

این گواهی به مهاجم اجازه می‌دهد تا دسترسی های خود را افزایش دهد. البته توضیحات مرتبط با آن، اشاره می‌کند که سواستفاده از این آسیب پذیری تنها زمانی امکان‌پذیر است که سرویس گواهی اکتیو دایرکتوری (ADCS) بر روی دامین اجرا شود.

لیست کامل آسیب پذیری های برطرف شده، در وبسایت رسمی مایکروسافت درج شده است که می‌توانید در لینک زیر مطالعه بفرمایید:

https://msrc.microsoft.com/update-guide/vulnerability

منابع

https://msrc.microsoft.com/update-guide/vulnerability

https://www.tenable.com/blog/microsofts-august-2022-patch-tuesday-addresses-118-cves-cve-2022-34713

https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2022-patch-tuesday-fixes-exploited-zero-day-121-flaws/