مایکروسافت، نهم آوریل 2024، بهروزرسانیهای امنیتی ماهانه PATCH TUESDAY خود را در حالی منتشر کرد که رکورد برطرف نمودن 149 نقص را شکست. دو مورد از این نقصها، مورد بهرهبرداری فعال قرار گرفتهاند.
از مجموع 149 نقص امنیتی، ۳ مورد از نظر شدت در دسته بحرانی، ۱۴۲ مورد در دسته مهم، ۳ مورد نیز در حد متوسط و یکی از آنها با شدت پایین رتبه بندی شدهاند. این به روز رسانی جدای از 21 آسیبپذیری است که شرکت مایکروسافت در مرورگر Edge مبتنی بر Chromium خود پس از انتشار اصلاحات Patch Tuesday در سیزدهم مارس 2024 برطرف کرده است.
دو نقص که مورد بهره برداری فعال قرار گرفتهاند نیز به شرح زیر میباشند:
- CVE-2024-26234 (امتیاز CVSS: 6.7 – )آسیب پذیری جعل درایور پروکسی (Proxy Driver Spoofing)
- CVE-2024-29988 (امتیاز CVSS: 8.8) – آسیب پذیری دور زدن ویژگی امنیتی SmartScreen Prompt
در حالی که مایکروسافت هیچ اطلاعاتی در خصوص CVE-2024-26234 ارائه نداده است، اما شرکت امنیت سایبری Sophos اذعان داشت که در دسامبر 2023 یک فایل اجرایی مخرب ( ” Catalog.exe” یا ” Catalog Authentication Client Service “) را کشف کرده است که توسط یک ارائه دهنده گواهی معتبر سازگاری سخت افزار مایکروسافت ویندوز (WHCP[1]) امضا شده است.
در سرویس احراز هویت ادعا شده، کامپوننتی به نام 3proxy وجود دارد که برای نظارت (مانیتورینگ) و رهگیری ترافیک شبکه در یک سیستم نفوذ طراحی شده است که به طور مؤثر به عنوان یک بکدور عمل میکند.
آندریاس کلوپش[2]، محقق Sophos اعلام کرد که آنها هیچگونه شواهدی ندارند که نشان دهد توسعهدهندگان LaiXi عمداً فایل مخرب را در محصول خود جاسازی کردهاند، یا اینکه مهاجم یک حمله زنجیره تامین انجام داده است تا آن را در فرآیند جمعآوری/ ساخت اپلیکیشن LaiXi وارد کند.
چندین گونه دیگر از بکدور تاکنون کشف کرده است که به پنجم ژانویه 2023 باز میگردد و نشان می دهد این کمپین حداقل از آن زمان در جریان بوده است. مایکروسافت از این رو، فایل های مربوطه را به لیست ابطال خود افزوده است.
دومین نقص امنیتی که بر اساس گزارشها مورد حمله فعال قرار گرفته است، CVE-2024-29988 میباشد که مانند CVE-2024-21412 و CVE-2023-36025 به مهاجمان اجازه میدهد تا هنگام باز کردن یک فایل ساخته شده خاص، از محافظتهای Smartscreen مایکروسافت دیفندر چشم پوشی کنند.
برای سوء استفاده از این آسیبپذیری دور زدن ویژگی امنیتی، مهاجم باید کاربر را متقاعد سازد که فایلهای مخرب را با استفاده از اپلیکیشن راهاندازی (که درخواست میکند هیچ رابط کاربری (UI ) نشان داده نشود)، راهاندازی کند.
مهاجم در سناریوی حمله ایمیل یا پیام فوری، می تواند یک فایل ساخته شده خاص را برای کاربر هدف ارسال کند که به منظور سوء استفاده از آسیب پذیری اجرای کد از راه دور طراحی شده است. شرکت Zero Day Initiative اعلام کرد که شواهدی مبنی بر سوء استفاده از این نقص کشف شده است.
یکی دیگر از آسیبپذیریهای مهم، CVE-2024-29990 (امتیاز CVSS: 9.0) میباشد، که یک نقص ارتقاء سطح دسترسی است که بر کانتینر محرمانه سرویس Kubernetes شرکت Microsoft Azure تأثیر میگذارد و میتواند توسط مهاجمان احراز هویت نشده برای ربودن گواهی های اعتبار مورد سوء استفاده قرار گیرد.
به گفته Redmond، یک مهاجم میتواند به node غیرقابل اطمینان AKS Kubernetes و کانتینر محرمانه AKS دسترسی یابد تا guest ها و کانتینرهای محرمانه را فراتر از پشته (stack) شبکه که ممکن است به آن متعهد باشد، کنترل کند.
این نسخه در مجموع، برای رسیدگی به 68 آسیب پذیری اجرای کد از راه دور، 31 نقص افزایش سطح دسترسی، 26 نقص دور زدن ویژگی امنیتی و شش باگ انکار سرویس (DoS[3]) حائز اهمیت میباشد. جالب اینجاست که 24 مورد از 26 نقص دور زدن ویژگی امنیتی مربوط به Secure Boot است.
در حالی که هیچ یک از این آسیبپذیریهای Secure Boot که در این ماه مورد بررسی قرار گرفتهاند، تاکنون مورد سوء استفاده قرار نگرفتهاند، اما یادآوری میکنند که نقصهای Secure Boot همچنان ادامه دارند و ما میتوانیم در آینده شاهد فعالیتهای مخرب بیشتری در رابطه با آن باشیم.
وصله های نرم افزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب پذیری منتشر شده است، از جمله:
- Adobe
- AMD
- Android
- Apache XML Security برای C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HTTP/2
- IBM
- Ivanti
- Jenkins
- Lenovo
- LG webOS
- توزیع های لینوکس Debian, Oracle Linux, Red Hat, SUSE, و Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR, و Thunderbird
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
[1] Windows Hardware Compatibility Publisher
[2] Andreas Klopsch
[3] denial-of-service
منابع
https://thehackernews.com/2024/04/microsoft-fixes-149-flaws-in-huge-april.html
https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26234
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29988
