مایکروسافت، نهم جولای ۲۰۲۴ در به روزرسانی Patch Tuesday این دوره خود، وصلههایی را برای رفع 143 نقص امنیتی منتشر کرد که دو مورد از آنها تاکنون مورد بهره برداری فعال قرار گرفتهاند.
پنج مورد از مجموع 143 نقص امنیتی از نظر شدت به عنوان بحرانی، 136 مورد به عنوان مهم و چهار مورد نیز متوسط ارزیابی و رتبه بندی شدهاند. این موارد علاوه بر 33 آسیب پذیری هستند که طی ماه گذشته در مرورگر Edge مبتنی بر Chromium برطرف شدهاند.
دسته بندی آسیب پذیریهای پچ شده به شرح زیر است:
- 26 آسیب پذیری افزایش سطح دسترسی
- 24 آسیب پذیری دور زدن ویژگی امنیتی
- 59 آسیب پذیری اجرای کد از راه دور
- 9 آسیب پذیری افشای اطلاعات
- 17 آسیب پذیری انکار سرویس
- 7 آسیب پذیری جعل (Spoofing)
دو نقص امنیتی که مورد بهره برداری قرار گرفتهاند، عبارتند از:
- CVE-2024-38080 (امتیاز CVSS: 7.8) – آسیب پذیری افزایش سطح دسترسی Hyper-V ویندوز
- CVE-2024-38112 (امتیاز CVSS: 7.5) – آسیب پذیری جعل پلتفرم MSHTML ویندوز
CVE-2024-38080 یک نقص امنیتی در Hyper-V ویندوز است. یک مهاجم لوکال احراز هویت شده میتواند از این آسیب پذیری پس از نفوذ اولیه برای بالا بردن سطح دسترسی خود به SYSTEM سوء استفاده کند. این آسیب پذیری، اولین مورد از 44 نقص Hyper-V است که از سال 2022 تاکنون مورد بهره برداری قرار گرفته است.
مایکروسافت در خصوص آسیب پذیری CVE-2024-38112 نیز اعلام کرد که سوء استفاده موفق از این نقص امنیتی مستلزم آن است که مهاجم اقدامات بیشتری را قبل از بهره برداری برای آماده سازی محیط هدف به انجام رسانده باشد. یک مهاجم باید فایل مخربی را برای قربانی ارسال و قربانی نیز آن را اجرا کند.
هایفی لی[1]، محقق امنیتی چک پوینت که به عنوان کاشف و گزارش دهنده این نقص در می 2024 شناخته شده است، اذعان داشت که هکرها از فایلهای “.URL[2]” استفاده میکنند که قربانیان با کلیک بر روی آنها، توسط مرورگر اینترنت اکسپلورر (IE) به یک URL مخرب هدایت میشوند.
یک ترفند اضافی در اینترنت اکسپلورر برای مخفی کردن نام پسوند مخرب .HTA[3] مورد استفاده قرار میگیرد. مهاجم با باز کردن URL بوسیله IE به جای مرورگرهای جدیدتر و ایمنتر Chrome/Edge در ویندوز، مزایای قابل توجهی در سوء استفاده از رایانه قربانی به دست میآورد، حتی اگر رایانه از سیستم عامل ویندوز 10/11 استفاده کند.
آبجکتهایی که از این تکنیک حمله استفاده می کنند در اوایل ژانویه 2023 در پلتفرم اسکن بدافزار VirusTotal آپلود شدند که بیانگر آن است که مهاجمان بیش از یک سال و نیم است که از این آسیب پذیری آگاه بوده و سوء استفاده میکنند.
چک پوینت اعلام کرد که از نمونههای URL برای ارائه یک رباینده اطلاعات به نام Atlantida (آتلاندا) استفاده شده است.
این رباینده در اوایل سال جاری توسط Rapid7 به عنوان بدافزاری که امکان ربودن گواهیهای اعتبار و دادههای لاگین، دادههای کیف پول ارز دیجیتال و اطلاعات ذخیره شده در مرورگرهای وب، کپچر کردن صفحه نمایش و دادههای سخت افزاری را فراهم میآورد، ثبت گردید.
شواهد حاکی از آن است که این بدافزار رباینده که عمدتاً کاربران ترکیه و ویتنام را در اواسط ماه مه 2024 مورد حمله قرار داده است، از سایتهای وردپرس هک شده سوء استفاده کرده تا از طریق HTA و فایلهای PowerShell حملاتی را به انجام رساند که Atlántida را به سیستم قربانیان تحویل میدهند.
یافتههای اولیه از چک پوینت نشان میدهد که حداقل دو گروه متفاوت از آسیب پذیری CVE-2024-38112 در حملات همزمان خود سوء استفاده کردهاند.
دو نقص امنیتی دیگر که توسط مایکروسافت در این دوره اصلاح شدهاند، CVE-2024-37985 و CVE-2024-35264 میباشند. CVE-2024-37985 شامل یک حمله کانال جانبی به نام FetchBench است که میتواند مهاجم را قادر به مشاهده حافظه پشته از یک فرآیند در حال اجرا با سطح دسترسی بالا در سیستمهای مبتنی بر Arm کند.
CVE-2024-35264 نیز یک باگ اجرای کد از راه دور است که دات نت (NET.) و ویژوال استودیو (Visual Studio) را تحت تأثیر قرار میدهد.
هکرها میتوانند با بستن یک جریان http/3 از این آسیب پذیری سوء استفاده کنند، در حالی که بدنه درخواست در حال پردازش است و منجر به race condition میشود.
همچنین در به روزرسانی Patch Tuesday این دوره، 37 نقص اجرای کد از راه دور که بر ارائه دهنده OLE DB
کتابخانه Native Client سرور SQL تاثیر میگذارند، 20 آسیب پذیری دور زدن ویژگی امنیتی Secure Boot (بوت امن)، سه باگ افزایش سطح دسترسی PowerShell و یک آسیب پذیری جعل در پروتکل RADIUS (نام مستعار BlastRADIUS و شناسه CVE-2024-3596) پچ شدهاند.
Morphisec که این نقص را در اواخر آوریل 2024 به مایکروسافت گزارش نمود، اعلام کرد که این آسیب پذیری نیازی به احراز هویت ندارد و به دلیل ماهیت بدون کلیک آن (zero-click)، خطر جدی به همراه دارد.
مهاجمان میتوانند از این آسیب پذیری جهت ایجاد دسترسی غیرمجاز، اجرای کد دلخواه و ایجاد آسیبهای اساسی بدون هیچ گونه تعاملی با کاربر سوء استفاده کنند. فقدان الزامات احراز هویت، این آسیب پذیری را بطور بالقوه خطرناکتر میکند چرا که راهی را برای بهره برداری گسترده از آن هموار میسازد.
پچ های نرم افزاری از سایر فروشندگان
علاوه بر مایکروسافت، به روزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته اخیر برای اصلاح چندین آسیب پذیری منتشر شده است، از جمله:
- Adobe
- Amazon Web Services
- AMD
- Apple
- Arm
- Broadcom (شامل VMware)
- Cisco
- Citrix
- CODESYS
- D-Link
- Dell
- Drupal
- Emerson
- F5
- Fortinet
- Fortra FileCatalyst Workflow
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Google Pixel
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise
- IBM
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- توزیعهای لینوکس همچون Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox and Firefox ESR
- NETGEAR
- NVIDIA
- OpenSSH
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Spring Framework
- TP-Link
- Veritas
- WordPress
- Zoom
[1] Haifei Li
[2] Uniform Resource Locator
[3] HTML Application
