به‌روزرسانی‌های PATCH TUESDAY ماه فوریه ۲۰۲۴ مایکروسافت

مایکروسافت، سیزدهم فوریه 2024 وصله‌هایی را برای رفع 73 نقص امنیتی در مجموعه نرم‌افزار خود به عنوان بخشی از به‌روزرسانی‌های Patch Tuesday  منتشر کرد. از میان این نقص‌ها دو آسیب پذیری روز صفر، تحت بهره‌برداری فعال قرار گرفته‌اند.

از مجموع 73 آسیب ‌پذیری، 5 مورد بحرانی، 65 مهم، و ۳ آسیب‌ پذیری در حد متوسط رتبه بندی شده‌اند. این علاوه بر 24 نقصی است که از زمان انتشار به‌روزرسانی‌های Patch Tuesday ماه ژانویه 2024 در مرورگرEdge  مبتنی بر Chromium برطرف شده است.

دو نقصی که در زمان انتشار تحت حمله فعال فهرست شده‌اند، به شرح زیر می‌باشند:

• CVE-2024-21351 (امتیاز CVSS: 7.6) – آسیب پذیری دور زدن ویژگی امنیتی SmartScreen ویندوز.
• CVE-2024-21412 (امتیاز CVSS: 8.1) – آسیب پذیری دور زدن ویژگی امنیتی فایل‌های شورتکات اینترنت.

مایکروسافت در خصوص CVE-2024-21351 اذعان داشت که این آسیب پذیری به یک عامل مخرب اجازه می‌دهد تا کد را به SmartScreen تزریق کند و به طور بالقوه اجرای کد را به دست آورد، که در این صورت خواهد توانست منجر هک برخی داده ها، عدم دسترسی به سیستم یا هر دو شود.

اکسپلویت موفق این نقص می‌تواند به مهاجم اجازه دهد تا محافظت‌های SmartScreen را دور زده و کد دلخواه را اجرا کند. با این حال، برای اینکه حمله موثر باشد، عامل تهدید باید یک فایل مخرب برای کاربر ارسال کرده و کاربر را متقاعد سازد که آن را بگشاید.

CVE-2024-21412، به روشی مشابه، به یک مهاجم تایید نشده اجازه می‌دهد تا با ارسال یک فایل ساخته‌ شده ویژه به کاربر هدف، بررسی‌های امنیتی نمایش‌داده‌ شده را دور بزند. با این حال، مهاجم هیچ راهی برای وادار ساختن کاربر به منظور مشاهده محتوای کنترل شده توسط خود را ندارد و مهاجم می‌بایست او را متقاعد سازد که بر روی لینک فایل کلیک نماید.

CVE-2024-21351 دومین باگ دور زدن (bypass) است که پس ازCVE-2023-36025  (امتیاز CVSS: 8.8) در SmartScreen کشف شده است و توسط غول فناوری در نوامبر 2023 وصله گردید. این نقص امنیتی از آن زمان توسط چندین گروه هکری به منظور تکثیر DarkGate، Phemedrone Stealer و Mispadu مورد سوء استفاده قرار گرفته است.

Trend Micro یک کمپین حمله انجام شده توسط Water Hydra  (معروف به DarkCasino) را با هدف نفوذ به معامله گران بازار مالی با استفاده از یک زنجیره حمله پیشرفته روز صفر توسط CVE-2024-21412 مورد بررسی قرار داد و CVE-2024-21412 را به منظور دور زدن CVE-2023-36025 مطرح کرد که عوامل تهدید با توجه به آن خواهند توانست از بررسی‌های SmartScreen بگریزند.

Water Hydra برای اولین بار در سال 2021 شناسایی شد و سابقه حمله به بانک‌ها، پلتفرم‌های ارزهای دیجیتال، سرویس‌های معاملاتی، سایت‌های قمار و کازینو برای ارائه تروجانی به نام DarkMe با استفاده از اکسپلویت‌های روز صفر، از جمله نقص WinRAR را دارد که در دوم آگوست 2023 منتشر شد (CVE-2023-38831، امتیاز CVSS: 7.8).

Trend Micro اذغان داشت که Water Hydra در پنجم ژانویه 2024، زنجیره نفوذ خود را با بهره برداری از CVE-2024-21412 به منظور اجرای یک فایل نصب کننده مخرب مایکروسافت (MSI) به روز رسانی کرده و فرآیند نفوذ DarkMe را ساده نموده است.

هر دو آسیب‌پذیری در آن زمان به کاتالوگ آسیب‌پذیری‌های شناخته شده (KEV) توسط آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) اضافه شدند و درخواست شده است که آخرین به‌روزرسانی‌ها را تا پنحم مارس 2024 اعمال گردد.

پنج نقص بحرانی که توسط مایکروسافت وصله شده است به شرح زیر می‌باشند:

• CVE-2024-20684 (امتیاز CVSS: 6.5) – آسیب پذیری انکار سرویس Hyper-V ویندوز
• CVE-2024-21357 (امتیاز CVSS: 7.5) – آسیب پذیری اجرای کد از راه دور Pragmatic General Multicast (PGM) ویندوز
• CVE-2024-21380 (امتیاز CVSS: 8.0) – آسیب پذیری افشای اطلاعات Dynamics Business Central/NAV مایکروسافت
• CVE-2024-21410 (امتیاز CVSS: 9.8) – آسیب پذیری افزایش سطح دسترسی سرور Exchange مایکروسافت
• CVE-2024-21413 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد از راه دور Outlook مایکروسافت

ساتنام نارنگ، مهندس تحقیقات ارشد کارکنان در Tenable در بیانیه‌ای اذعان داشت که CVE-2024-21410 یک آسیب‌پذیری مهم در سرور Exchange مایکروسافت است که سوء استفاده از این آسیب ‌پذیری می‌تواند منجر به افشای هش NTLM نسخه 2 کاربر مورد نظر شود. ای نقص می‌تواند به یک سرور Exchange آسیب‌پذیر در یک حمله بازپخش NTLM یا هش ارسال گردد و به مهاجم اجازه دهد تا به عنوان کاربر هدف احراز هویت شود.

این به‌روزرسانی امنیتی، ۱۵ نقص اجرای کد از راه دور در ارائه‌ دهنده Microsoft WDAC OLE DB برای سرورSQL  را برطرف می‌کند که مهاجم می‌تواند با فریب یک کاربر احراز هویت شده به منظور اتصال به سرور SQL مخرب از طریق OLEDB از آنها سوء استفاده کند.

انتشار وصله، راه حلی برای CVE-2023-50387 (امتیاز CVSS: 7.5)، یک نقص طراحی 24 ساله در مشخصات DNSSEC است که می تواند منجر به حمله انکار سرویس (DoS) شود. این آسیب‌پذیری توسط مرکز تحقیقات ملی امنیت سایبری کاربردی (ATHENE) در Darmstadt با نام رمز KeyTrap شناخته می‌شود.

محققان نشان دادند که تنها با یک پکیج DNS، حمله می‌تواند CPU را از کار انداخته و تمام پیاده‌سازی‌های DNS پرکاربرد و ارائه‌دهندگان DNS عمومی، مانند Google Public DNS و Cloudflare را متوقف کند.در واقع، پیاده سازی محبوب BIND 9 DNS می تواند تا 16 ساعت متوقف گردد.

وصله های نرم افزاری از سوی دیگر فروشندگان

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب‌پذیری منتشر شده‌اند، از جمله:

• Adobe
• AMD
• Android
• Arm
• ASUS
• Atos
• Canon
• Cisco
• Dell
• Drupal
• ExpressVPN
• F5
• Fortinet
• GitLab
• Google Chrome
• Google Cloud
• Hitachi Energy
• HP
• IBM
• Intel
• ISC BIND 9
• Ivanti
• JetBrains TeamCity
• Juniper Networks
• Lenovo
• توزیع‌های لینوکسیDebian, Oracle Linux, Red Hat, SUSE,  و Ubuntu
• Mastodon
• MediaTek
• Mitsubishi Electric
• Mozilla Firefox, Firefox ESR, and Thunderbird
• NVIDIA
• PowerDNS
• QNAP  (برای دریافت جزئیات بیشتر به CVE-2023-47218  و CVE-2023-50358مراجعه شود)
• Qualcomm
• Rockwell Automation
• Samsung
• SAP
• Schneider Electric
• Siemens
• SolarWinds
• SonicWall
• Spring Framework
• Synology
• Veeam
• Veritas
• VMware
• WordPress
• Zoom
• Zyxel

منابع