به‌ روزرسانی‌ Patch Tuesday ماه نوامبر ۲۰۲۴ مایکروسافت

مایکروسافت، دوازدهم نوامبر ۲۰۲۴ در به روزرسانی Patch Tuesday این دوره خود اعلام کرد کرد که ۹۰ باگ از جمله دو نقص امنیتی که بر NT LAN Manager (NTLM) و Task Scheduler ویندوز تأثیر می‌گذارند را پچ کرده است. جالب است که این دو آسیب پذیری، مورد سوء استفاده فعال قرار گرفته‌اند.

از میان این ۹۰ باگ، از نظر شدت، ۴ مورد به ‌عنوان بحرانی، ۸۵ مورد به‌عنوان مهم و یک مورد نیز به عنوان متوسط رتبه‌بندی شده‌اند. پنجاه و دو مورد از این آسیب ‌پذیری‌های اصلاح‌ شده، نقص‌های اجرای کد از راه دور هستند.

دو آسیب‌ پذیری مذکور که مورد اکسپلویت واقع شده‌اند به شرح زیر می‌باشند:

CVE-2024-43451 (امتیاز CVSS: 6.5) – آسیب پذیری جعل افشای هش [1]NTLM ویندوز
CVE-2024-49039 (امتیاز CVSS: 8.8) – آسیب پذیری افزایش سطح دسترسی در Task Scheduler ویندوز

مایکروسافت در خصوص CVE-2024-43451 اعلام کرده است که سوء استفاده از این آسیب‌ پذیری منجر به افشای هش NTLMv2 میشود و هکرها را قادر خواهد ساخت تا از آن برای دسترسی به سیستم‌های دیگر شبکه استفاده کنند.

از سوی دیگر، CVE-2024-49039 می‌تواند به مهاجم اجازه دهد تا توابع RPC را اجرا کند. سوء استفاده موفق از این آسیب پذیری به مهاجم احراز هویت شده اجازه میدهد تا برنامه‌ای را بر روی سیستم هدف اجرا نماید.

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA)، این دو آسیب را به لیست کاتالوگ آسیب پذیری‌های شناخته و سوء استفاده شده اضافه کرده است.

یکی از آسیب پذیری‌های روز صفر که به طور عمومی فاش شده، اما هنوز مورد سوء استفاده قرار نگرفته است، CVE-2024-49019 (امتیاز CVSS: 7.8) می‌باشد. CVE-2024-49019، یک آسیب ‌پذیری افزایش سطح دسترسی در سرویس‌های گواهی اکتیو دایرکتوری است که می‌تواند برای دریافت سطح دسترسی مدیریت دامنه مورد سوء استفاده قرار گیرد. جزئیات این آسیب ‌پذیری که EKUwu نام دارد، ماه گذشته توسط TrustedSec به مستند شده است.

CVE-2024-43498 نیز یک آسیب پذیری اجرای کد از راه دور بحرانی در دات نت و ویژوال استودیو است. مایکروسافت احتمال سوء استفاده از این آسیب پذیری را پایین ارزیابی کرده است. یک مهاجم از راه دور می‌تواند از یک برنامه وب آسیب پذیر دات نت با ارسال پکت‌های ساخته شده خاص یا بارگذاری یک فایل ساخته شده ویژه در یک برنامه آسیب پذیر سوء استفاده کند.

این به ‌روزرسانی همچنین یک نقص مهم پروتکل رمزنگاری (CVE-2024-43639) را که بر Kerberos ویندوز تأثیر می‌گذارد، (امتیاز CVSS: 9.8) پچ کرده است. CVE-2024-43639می‌تواند توسط یک مهاجم احراز هویت نشده برای اجرای کد از راه دور مورد سوء استفاده قرار گیرد.

بحرانی ترین آسیب پذیری این دوره متعلق به یک نقص اجرای کد از راه دور (CVE-2024-43602، امتیاز CVSS: 9.9) در Azure CycleCloud است که به مهاجمی با سطح دسترسی پایین اجازه می‌دهد تا دسترسی root را به دست آورد.

یک CVE دیگر نیز وجود دارد که توسط ردموند به آن پرداخته شده است و با شناسه CVE-2024-5535 (امتیاز CVSS: 9.1) دنبال می‌شود. CVE-2024-5535، یک نقص اجرای کد از راه دور در OpenSSL است که یکبار توسط توسعه دهندگان OpenSSL در ژوئن 2024 پچ شده است.

سوء استفاده از این آسیب ‌پذیری مستلزم آن است که مهاجم یک لینک مخرب را از طریق ایمیل یا اپلیکیشن پیام‌رسان برای قربانی ارسال کند و یا اینکه کاربر را متقاعد سازد تا بر روی لینک مورد نظر کلیک نماید.

در بدترین حالت حمله توسط ایمیل، مهاجم می‌تواند ایمیلی را برای کاربر ارسال کند که بدون نیاز به باز کردن، خواندن یا کلیک بر روی لینک توسط قربانی، منجر به اجرای کد از راه دور در دستگاه قربانی شود.