مایکروسافت، نهم ژانویه ۲۰۲۴ در مجموع ۴۸ نقص امنیتی را در نرم افزار خود به عنوان بخشی از به روزرسانی Patch Tuesday ماه ژانویه سال جاری مرتفع ساخت. دو مورد از مجموع ۴۸ باگ از نظر شدت به عنوان “بحرانی” و ۴۶ مورد نیز “مهم” رتبه بندی شدهاند. هیچ مدرکی دال بر اینکه آسیب پذیریها در زمان انتشار به طور عمومی شناخته شده یا تحت حمله فعال قرار گرفته باشند وجود ندارد و این دومین Patch Tuesday متوالی بدون آسیب پذیری روز صفر میباشد.
این اصلاحات جدای از ۹ آسیبپذیری امنیتی است که از زمان انتشار بهروزرسانیهای Patch Tuesday در دسامبر ۲۰۲۳ در مرورگر Edge مبتنی بر Chromium برطرف شدهاند. مهمترین آسیب پذیریهای اصلاح شده در این ماه (ژانویه) به شرح زیر میباشد:
- CVE-2024-20674 (امتیاز CVSS: 9.0) – آسیب پذیری دور زدن ویژگی امنیتی کربروس ویندوز[1].
- CVE-2024-20700 (امتیاز CVSS: 7.5) – آسیب پذیری اجرای کد از راه دور Hyper-V ویندوز.
مایکروسافت در توصیهای برای CVE-2024-20674 اعلام کرد که “ویژگی احراز هویت را میتوان دور زد چرا که این آسیب پذیری امکان جعل هویت را فراهم میآورد”. مهاجم احراز هویت شده میتواند با ایجاد یک حمله MitM[2] یا دیگر تکنیکهای جعل شبکه لوکال، از این آسیبپذیری سوء استفاده کند و سپس یک پیام مخرب کربروس را به ماشین قربانی کلاینت ارسال نماید تا خود را به عنوان سرور احراز هویت کربروس جعل کند. بهره برداری موفق از این آسیب پذیری مستلزم آن است که مهاجم ابتدا به شبکه محدود دسترسی پیدا کند. محقق امنیتی با شناسه ldwilmore34 مسئول کشف و گزارش این نقص میباشد.
از سوی دیگر، CVE-2024-20700 برای دستیابی به اجرای کد از راه دور، به احراز هویت و تعامل با کاربر نیاز ندارد، اگرچه برنده شدن در شرایط مسابقه[3] پیش نیاز مرحلهبندی حمله است. هنوز دقیقاً مشخص نیست که مهاجم باید در کجا قرار گیرد ( LAN که هایپروایزر در آن قرار دارد یا یک شبکه مجازی ایجاد و مدیریت شده توسط هایپروایزر ) یا در چه زمینهای اجرای کد از راه دور انجام شود.
سایر آسیب پذیریهای قابل توجه عبارتند از CVE-2024-20653 (امتیاز CVSS: 7.8)، یک نقص افزایش سطح دسترسی که بر درایور CLFS[4] تأثیر میگذارد و CVE-2024-0056 (امتیاز CVSS: 8.7)، یک دور زدن امنیتی که System.Data.SqlClient و Microsoft.Data.SqlClient را تحت تاثیر قرار میدهد. مهاجمی که با موفقیت از این آسیبپذیری (CVE-2024-0056) سوء استفاده کند، میتواند یک حمله MitM را به انجام رسانده و ترافیک TLS بین کلاینت و سرور را رمزگشایی کرده، بخواند و یا تغییر دهد.
مایکروسافت همچنین خاطرنشان کرد که به دلیل نقص امنیتی CVE-2024-20677 (امتیاز CVSS: 7.8) که میتواند منجر به اجرای کد از راه دور شود، به طور پیش فرض امکان درج فایلهای FBX در Word، Excel، PowerPoint و Outlook را در ویندوز غیرفعال میکند.
مایکروسافت در هشدار جداگانهای اعلام کرد که مدلهای سه بعدی در اسناد آفیس که قبلاً از یک فایل FBX درج شده بودند، همانطور که انتظار میرفت به فعالیت خود ادامه میدهند مگر اینکه در زمان درج گزینه « Link to File» انتخاب شود. GLB[5] (فرمت انتقال باینری GL)، فرمت فایل سه بعدی جایگزین توصیه شده برای استفاده در آفیس است.
شایان ذکر است که مایکروسافت سال گذشته پس از کشف ۱۱۷ نقص امنیتی در برنامه مایکروسافت 365 توسط Zscaler، اقدام مشابهی را برای غیرفعال سازی فرمت فایل SketchUp (SKP) در آفیس به انجام رساند.
وصلههای نرم افزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیبپذیری منتشر شده است، از جمله:
- Adobe
- AMD
- Android
- Arm
- ASUS
- Bosch
- Cisco
- Dell
- F5
- Fortinet
- Google Chrome
- Google Cloud
- HP
- IBM
- Intel
- Lenovo
- توزیعهای لینوکسDebian، Oracle Linux، Red Hat، SUSE و Ubuntu
- MediaTek
- NETGEAR
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- Trend Micro
- Zimbra
- Zoom
