به‌ روزرسانی‌ Patch Tuesday ماه دسامبر ۲۰۲۴ مایکروسافت

مایکروسافت، یازدهم دسامبر ۲۰۲۴ در به روزرسانی Patch Tuesday این دوره خود اعلام کرد که ۷۲ آسیب پذیری را در مجموعه نرم‌افزاری خود پچ کرده است. یکی از این آسیب پذیری‌ها مورد سوء استفاده قرار گرفته است.

از میان این 72 آسیب پذیری، 17 مورد به عنوان بحرانی، 54 مورد به عنوان مهم و یک مورد نیز به عنوان متوسط ​​رتبه‌بندی شده‌اند. 31 مورد از این آسیب ‌پذیری‌ها، نقص اجرای کد از راه دور هستند و 27 مورد از آن‌ها امکان افزایش سطح دسترسی را فراهم می‌آورند.

جالب است بدانید که مایکروسافت در مجموع، 1088 آسیب‌ پذیری را در سال 2024 برطرف کرده است. آسیب پذیری که مایکروسافت اذعان داشته است که به طور فعال مورد اکسپلویت قرار گرفته است، CVE-2024-49138  (امتیاز CVSS: 7.8) می‌باشد که یک نقص آسیب‌ پذیری افزایش سطح دسترسی در درایور سیستم فایل لاگ مشترک ویندوز ([1]CLFS)  است. مهاجمی که با موفقیت از این آسیب پذیری سوء استفاده کند، خواهد توانست سطح دسترسی SYSTEM  را به دست آورد.

شایان ذکر است که CVE-2024-49138 پنجمین آسیب‌ پذیری افزایش سطح دسترسی در CLFS  است از سال 2022 پس از CVE-2022-24521 ، CVE-2022-37969 ، CVE-2023-23376 و CVE-2023-28252 مورد سوء استفاده قرار گرفته است. CVE-2024-49138 همچنین نهمین آسیب پذیری در همان کامپوننت است که امسال پچ شده است.

اگرچه جزئیات این اکسپلویت هنوز مشخص نیست، اما با نگاهی به تاریخچه آسیب ‌پذیری‌های درایور  CLFSمی‌توان فهمید که اپراتورهای باج‌افزار طی چند سال گذشته تمایل زیادی به اکسپلویت آسیب پذیری‌های CLFS دارند.

برخلاف گروه‌های APT که معمولاً روی دقت و صبر تمرکز می‌کنند، اپراتورهای باج‌افزار و شرکت‌های وابسته به هر وسیله‌ای که لازم باشد بر تاکتیک‌های ضربه زدن و اخاذی تاکید دارند. اپراتورهای باج افزار با سوء استفاده از آسیب پذیری در CLFS می‌توانند از طریق یک شبکه خاص حرکت کنند تا داده‌ها را سرقت و رمزگذاری کرده و شروع به اخاذی از قربانیان خود نمایند.

این واقعیت که CLFS به یک مسیر حمله جذاب برای هکرها تبدیل شده است، هنوز مورد توجه مایکروسافت قرار نگرفته است!

یکی از آسیب پذیری‌های این دوره (دسامبر ۲۰۲۴) که از نظر شدت، بالاترین امتیاز را داشت، بر پروتکل LDAP که یک پروتکل شبکه است که برای مدیریت و دسترسی به اطلاعات موجود در سرویس‌های دایرکتوری استفاده می‌شود، تأثیر می گذارد. این آسیب پذیری با شناسه CVE-2024-49112  دنبال می‌شود (امتیازCVSS: 9.8).

یک مهاجم غیرمجاز با سوءاستفاده موفق از این آسیب پذیری خواهد توانست از طریق مجموعه ویژه‌ای از فراخوانی‌های LDAP برای اجرای کد دلخواه در فریمورک سرویس LDAP ، به اجرای کد دست یابد.

سه آسیب پذیری اجرای کد از راه دور دیگر تأثیرگذار بر Hyper-V  ویندوز (CVE-2024-49117، CVSS: 8.8)، کلاینت دسکتاپ از راه دور (CVE-2024-49105، CVSS: 8.4) و Microsoft Muzic  (CVE-2024-49063، CVSS: 8.4) نیز شناسایی شده است.

این به روزرسانی‌ها در حالی انجام شده است که 0patch  اصلاحات غیر رسمی را برای آسیب پذیری روز صفر ویندوز منتشر کرده است. این آسیب پذیری به مهاجمان اجازه می‌دهد هش‌های NTLM را استخراج کنند. جزئیات بیشتر در مورد این نقص تا زمانی که یک پچ رسمی در دسترس قرار گیرد، منتشر نخواهدشد.

در اواخر اکتبر، پچ‌های غیررسمی رایگان نیز برای رفع آسیب ‌پذیری روز صفر Windows Themes  نیز در دسترس قرار گرفت که به مهاجمان اجازه می‌دهد تا هش‌های NTLM سیستم مورد نظر را از راه دور بربایند.

0patch همچنین برای آسیب ‌پذیری روز صفر دیگری در Windows Server 2012 و Server 2012 R2  پچ‌هایی را منتشر کرده است که به هکرها این امکان را می‌دهد تا مکانیزم امنیتی MOTW  را دور بزنند. این آسیب پذیری بیش از دو سال وجود داشته و بر روی فایل‌های دانلود شده از منابع غیرقابل اطمینان تأثیر می‌گذارد.

با توجه به اینکه NTLM از طریق حملات relay و pass-the-hash تحت بهره برداری گسترده قرار گرفته است، مایکروسافت اعلام کرده است که قصد دارد پروتکل احراز هویت قدیمی را منسوخ کند. مایکروسافت علاوه بر این، حفاظت گسترده برای احراز هویت (EPA) را به طور پیش‌فرض برای نصب‌های جدید و موجود Exchange 2019 فعال کرده است.

مایکروسافت اعلام کرد با فعال سازی EPA به طور پیش‌فرض و انتشار Windows Server 2025 که دیگر از NTLM v1  پشتیبانی نمی‌کند و NTLM v2 نیز در آن منسوخ شده است، بهبود امنیتی مناسبی را ارائه خواهد کرد. این تغییرات در ویندوز 11 24H2 اعمال خواهند شد.

پچ‌های نرم افزاری ارائه شده از سوی سایر فروشندگان

علاوه بر مایکروسافت، به‌ روزرسانی‌های امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب ‌پذیری منتشر شده است، از جمله:

• Adobe
• AMD
• Arm
• ASUS
• Atlassian
• AutomationDirect
• Broadcom (شامل VMware)
• Canon
• Cisco
• D-Link
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Android  و  Pixel
• Google Chrome
• Google Cloud
• Hitachi Energy
• HP
• HP Enterprise (شامل Aruba Networking)
• I-O Data
• IBM
• Intel
• Ivanti
• Jenkins
• Juniper Networks
• Lenovo
• توزیع‌های لینوکس Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE,  و Ubuntu
• MediaTek
• Mitel
• Mitsubishi Electric
• MongoDB
• Mozilla Firefox, Firefox ESR, and Thunderbird
• NVIDIA
• Palo Alto Networks
• Progress Software
• QNAP
• Qualcomm
• Rockwell Automation
• SailPoint
• Salesforce
• Samsung
• SAP
• Schneider Electric
• Siemens
• SolarWinds
• SonicWall
• Splunk
• Spring Framework
• Synology
• Veeam
• Zyxel

[1] Common Log File System

منابع