مایکروسافت، سیزدهم آگوست ۲۰۲۴ در به روزرسانی Patch Tuesday این دوره خود، پچهایی را برای رفع ۹۰ نقص امنیتی، از جمله ۱۰ آسیب پذیری روز صفر ارائه کرد که شش مورد از آنها تاکنون مورد بهرهبرداری فعال قرار گرفته است.
از میان این 90 نقص امنیتی، 7 مورد به عنوان باگ بحرانی، 79 مورد به عنوان باگ مهم و یک مورد نیز با شدت متوسط رتبه بندی شدهاند. این تعداد، علاوه بر 36 آسیب پذیری هستند که مایکروسافت ماه گذشته در مرورگر Edge خود برطرف کرد.
تعداد باگهای این دوره در هر دسته آسیب پذیری به شرح زیر میباشد:
- ۳۶ افزایش آسیب پذیری افزایش سطح دسترسی
- ۴ آسیب پذیری دور زدن ویژگی امنیتی
- ۲۸ آسیب پذیری اجرای کد از راه دور
- ۸ آسیب پذیری افشای اطلاعات
- ۶ آسیب پذیری انکار سرویس (DoS)
- ۷ آسیب پذیری جعل یا Spoof
Patch Tuesday این ماه (آگوست) برای رسیدگی به شش آسیب پذیری روز صفر، بسیار بحث برانگیز است! این آسیب پذیریها عبارتند از:
- CVE-2024-38189 (امتیاز CVSS: 8.8) – آسیب پذیری اجرای کد از راه دور پروژه مایکروسافت[1]
- CVE-2024-38178 (امتیاز CVSS: 7.5) – آسیب پذیری Memory Corruption (فساد یا دستکاری حافظه) موتور اسکریپت ویندوز[2]
- CVE-2024-38193 (امتیاز CVSS: 7.8) – درایور عملکرد جانبی ویندوز برای آسیب پذیری سطح دسترسی WinSock [3]
- CVE-2024-38106 (امتیاز CVSS: 7.0) – آسیب پذیری افزایش سطح دسترسی کرنل ویندوز[4]
- CVE-2024-38107 (امتیاز CVSS: 7.8) – آسیب پذیری افزایش سطح دسترسی در هماهنگ کننده وابستگی قدرت ویندوز[5]
- CVE-2024-38213 (امتیاز CVSS: 6.5) – آسیب پذیری دور زدن ویژگی امنیتی وب Windows Mark[6]
آسیب پذیری CVE-2024-38213، به مهاجمان اجازه میدهد تا از حفاظتهای SmartScreen را دور بزنند و یک فایل مخرب را برای کاربر ارسال و او را متقاعد کنند که آن را باز نماید.
پیتر گیرنوس (Peter Girnus) از محققان Trend Micro، مسئول کشف و گزارش این آسیب پذیری است. CVE-2024-38213 میتواند یک دور زدن (بای پس) برای آسیب پذیری smartscreen (CVE-2024-21412 یا CVE-2023-36025) نیز باشد که قبلا توسط اپراتورهای بدافزار DarkGate مورد سوء استفاده قرار گرفتهاند.
این توسعه، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را وادار کرد تا این نقصها را به فهرست آسیب پذیری های شناخته شده (KEV) اضافه کند. سازمانهای فدرال موظف هستند تا سوم سپتامبر 2024، پچ ها و به روزرسانیهای امنیتی را دریافت و نصب کنند.
چهار مورد از CVEهای زیر به صورت عمومی فهرست شدهاند:
CVE-2024-38200 (امتیاز CVSS: 7.5) – آسیب پذیری جعل مایکروسافت آفیس (Microsoft Office)
CVE-2024-38199 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد از راه دور سرویس [7]LPD ویندوز
CVE-2024-21302 (امتیاز CVSS: 6.7) – آسیب پذیری افزایش سطح دسترسی حالت کرنل امن ویندوز[8]
CVE-2024-38202 (امتیاز CVSS: 6.7) – آسیب پذیری افزایش سطح دسترسی استک به روزرسانی ویندوز[9]
اسکات کاوزا (Scott Caveza)، مهندس تحقیقات در Tenable در خصوص آسیب پذیری CVE-2024-38200 اعلام کرد که یک مهاجم میتواند با ترغیب قربانی برای دسترسی به یک فایل خاص ساخته شده، احتمالاً از طریق ایمیل فیشینگ، از این آسیب پذیری استفاده کند.
سوء استفاده موفق از این آسیب پذیری میتواند منجر به افشای هشهای NTLM[10] توسط یک هکر از راه دور شود.
به روزرسانی این دوره همچنین یک آسیب پذیری افزایش سطح دسترسی در کامپوننت Print Spooler (با شناسه CVE-2024-38198) را برطرف میکند که به مهاجم اجازه میدهد دسترسی SYSTEM را به دست آورد.
به گفته مایکروسافت، اکسپلویت این آسیب پذیری مستلزم برنده شدن مهاجم در یک race condition (شرایط رقابتی) است.
آسیب پذیری های CVE-2024-38202 و CVE-2024-21302 نیز میتوانند در حمله Downgrade مورد سوء استفاده قرار گیرند. این حمله، نسخههای فعلی فایلهای سیستم عامل را با نسخه قدیمی و آسیب پذیر جایگزین میکند. هنوز هیچگونه به روزرسانی برای این دو آسیب پذیری منتشر نشده است.
وصلههای نرم افزاری از سایر فروشندگان
علاوه بر مایکروسافت، به روزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب پذیری منتشر شده است، از جمله:
- Adobe
- AMD
- Apple
- Arm
- Bosch
- Broadcom (شامل VMware)
- Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Google Wear OS
- HMS Networks
- HP
- HP Enterprise (شامل شبکه Aruba)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- توزیعهای لینوکس شامل Amazon Linux، Debian، Oracle Linux، Red Hat، Rocky Linux، SUSE و Ubuntu
- MediaTek
- Mitel
- MongoDB
- Mozilla Firefox، Firefox ESR و Thunderbird
- NVIDIA
- Progress Software
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SonicWall
- Splunk
- Spring Framework
- T-Head
- Trend Micro
- Zoom
- Zyxel
[1] Microsoft Project Remote Code Execution Vulnerability
[2] Windows Scripting Engine Memory Corruption Vulnerability
[3] Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
[4] Windows Kernel Elevation of Privilege Vulnerability
[5] Windows Power Dependency Coordinator Elevation of Privilege Vulnerability
[6] Windows Mark of the Web Security Feature Bypass Vulnerability
[7] Line Printer Daemon
[8] Windows Secure Kernel Mode
[9] Windows Update Stack
[10] New Technology Lan Manager
