مایکروسافت اخیرا آپدیتهای امنیتی برای رسیدگی به ۷۵ نقص در مجموعه محصولاتش منتشر کرد که سه مورد از آنها به نحوی مهارنشدنی مورد Exploit فعالانه قرار گرفتهاند. این آپدیتها مضاعف بر ۲۲ نقصی هستند که سازندهی ویندوز طی ماه گذشته در مرورگر Edge که مبتنی بر Chromium است، Patch کرد.
از این ۷۵ آسیبپذیری، ۹ مورد از نظر شدت بحرانی و ۶۶ مورد مهم براورد شدهاند. ۳۷ مورد از این ۷۵ باگ، در دستهی نواقص Remote Code Execution (RCE) قرار گرفتهاند. سه Zero-day قابل توجهی که مورد Exploit قرار گرفتهاند عبارتاند از:
- CVE-2022-21715 (امتیاز CVSS: 7.3) – ویژگی امنیتی مایکروسافت آفیس Bypass vulnerability
- CVE-2023-21823 (امتیاز CVSS: 7.8) – مؤلفه گرافیکی ویندوز، Elevation of Privilege Vulnerability
- CVE-2023-23376 (امتیاز CVSS: 7.8): سیستم فایل Log مشترک ویندوز (CLFS) Driver Elevation of Privilege Vulnerability
مایکروسافت در رهنمود مربوط به CVE-2023-21715 اعلام کرد: «خود حمله بهصورت Local و توسط کاربری احرازهویتشده در سیستم هدف انجام میشود.»
«مهاجم احرازهویتشده میتواند با متقاعد ساختن قربانی با روش مهندسی اجتماعی به دانلود و باز کردن یک فایل مخصوص از یک وبسایت که میتواند منجر به حملهای Local به کامپیوتر قربانی شود، از این آسیبپذیری بهره ببرد.»
بهرهبری موفقتآمیز از نواقص بالا میتواند مهاجم را قادر به دور زدن سیاستهای خرد آفیس که برای مسدود کردن فایلهای غیرقابل اعتماد یا مخرب بهکار میروند، و یا دسترسی به امتیازات SYSTEM سازد.
پس از CVE-2022-24521 و CVE-2022-37969 (امتیاز CVSS: 7.8) که در آوریل و سپتامبر ۲۰۲۲ موردتوجه مایکروسافت قرار گرفتند، CVE-2023-23376 سومین نقص Zero-day مورد Exploit در مؤلفهی CLFS است.
به گفتهی نیکولاس کمریکیچ از Immersive Labs «درایور سیستم فایل Log مشترک ویندوز یکی از مؤلفههای سیستم عملیاتی ویندوز است که سیستم فایل Log با عملکرد قوی و مبتنی بر تبادل را مدیریت و ابقا میکند.»
«این مؤلفه یکی از اجزای مهم سیستم عملیاتی ویندوز است و هر نوع آسیبپذیری در این درایور میتواند اثرات جدی بر امنیت و اعتبار سیستم داشته باشد.»
شایان توجه است که نسخهی اندروید Microsoft OneNote نسبت به CVE-2023-21823 آسیبپذیر است و از آنجا که سرویس یاداشتبرداری آن بیش از پیش به عنوان معبری برای تحویل بدافزار به کار میرود، ضروری است که کاربران اصلاحات را اعمال کنند.
مایکروسافت همچنین به چندین اختلال RCE در سرور تبادل، درایور ODBC، درایور پرینتر PostScript، و سرور SQL و همچنین مسائل DoS که بر سرویس iSCSI ویندوز و Windows Secure Channel اثرگذار بودند، رسیدگی کرد.
این شرکت سه مورد از نقصهای سرور تبادل را تحت عنوان «احتمال Exploit بیشتر است» دستهبندی کرده است، با اینکه Exploit موفقیتآمیز نیازمند احراز هویت شدن مهاجم است.
سرورهای تبادل در سالهای اخیر بهعنوان اهدافی باارزش اثبات شدهاند، چراکه میتوانند دسترسی به اطلاعات حساس را لغو یا حملههای تهدید ایمیل کاری (BEC) را تسهیل کنند.