در روز سه شنبه 9 Aug 2022 (18 مرداد ماه)، شرکت مایکروسافت اصلاحیه امنیتی خود را برای مجموعه آسیبپذیریهای کشف شده منتشر کرد. در این آپدیتها، 118 مورد آسیبپذیری ترمیم شده است که 17 مورد دارای درجه اهمیت حیاتی (critical) و 101 مورد از آنها دارای درجه مهم (important) است.
فراوانی موضوعات عنوان شده طی این گزارش به صورت زیر تقسیم شده است:
- 64 مورد با موضوع ترفیع سطح دسترسی (Elevation of Privilege)
- 31 مورد با موضوع اجرای کد از راه دور (Remote Code Execution)
- 12 مورد با موضوع افشای اطلاعات (Information Disclosure)
- 7 مورد با موضوع از دسترس خارج کردن سرویسدهی (Denial of Service)
- 3 مورد با موضوع عبور از امکانات امنیتی (Security Feature Bypass)
- 1 مورد با موضوع جعل هویت (spoofing)
همچنین عنوان شده است که اصلاحیههای امنیتی ارائه شده، به تفکیک مربوط به سرویسهای زیر در ویندوز است:
- .NET Core
- Active Directory Domain Services
- Azure Batch Node Agent
- Azure Real Time Operating System
- Azure Site Recovery
- Azure Sphere
- Microsoft ATA Port Driver
- Microsoft Bluetooth Driver
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Windows Support Diagnostic Tool (MSDT)
- Remote Access Service Point-to-Point Tunneling Protocol
- Role: Windows Fax Service
- Role: Windows Hyper-V
- System Center Operations Manager
- Visual Studio
- Windows Bluetooth Service
- Windows Canonical Display Driver
- Windows Cloud Files Mini Filter Driver
- Windows Defender Credential Guard
- Windows Digital Media
- Windows Error Reporting
- Windows Hello
- Windows Internet Information Services
- Windows Kerberos
- Windows Kernel
- Windows Local Security Authority (LSA)
- Windows Network File System
- Windows Partition Management Driver
- Windows Point-to-Point Tunneling Protocol
- Windows Print Spooler Components
- Windows Secure Boot
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows Storage Spaces Direct
- Windows Unified Write Filter
- Windows WebBrowser Control
- Windows Win32K
آسیب پذیری های روز صفر
مطابق گزارشهای اعلامی مایکروسافت، دو مورد از آسیب پذیری های برطرف شده، از نوع آسیب پذیری های “روز صفر” است. آسیب پذیری های روز صفر به باگهایی اشاره دارند که توسط باگ-هانترها، برای اولین بار بر روی سرویسها کشف شدهاند و حتی مورد سواستفاده نیز قرار گرفتهاند. البته این آسیب پذیری ها قبلا توسط توسعهدهندگان رسمی آن محصول شناسایی نشده، در برنامه ترمیم یا اصلاح قرار نداشته. پس از کشف توسط هانترها به صورت عمومی و با جزئیات، ارائه و برطرف شدهاند.
این دو آسیب پذیری با شناسههای CVE-2022-34713 و CVE-2022-30134 ، دارای درجه اهمیت “مهم” اصلاح شده اند. آسیب پذیری CVE-2022-34713 از دسته آسیب پذیری های “اجرای کد از راه دور” است که گزاشات مرتبط با آن نشان می دهند که به طور گسترده مورد استفاده قرار گرفته است. همچنین آسیب پذیری CVE-2022-30134 نیز از نوع “افشای اطلاعات” می باشد که اعلام شده است، مورد سو استفاده خاصی قرار نگرفته است.
آسیب پذیری های با درجه اهمیت “حیاتی”
در ادامه به بررسی جزئیات برخی از آسیب پذیری های اصلاح شده با درجه اهمیت “حیاتی” میپردازیم.
لیست هفده مورد آسیب پذیری “حیاتی” به همراه لینک شناسه آنها به صورت زیر است:
- CVE-2022-34691
- CVE-2022-33646
- CVE-2022-21980
- CVE-2022-24516
- CVE-2022-24477
- CVE-2022-35752
- CVE-2022-35753
- CVE-2022-34696
- CVE-2022-35804
- CVE-2022-30133
- CVE-2022-35744
- CVE-2022-35745
- CVE-2022-35766
- CVE-2022-35794
- CVE-2022-34714
- CVE-2022-34702
- CVE-2022-35767
CVE-2022-21980، CVE-2022-24516 و CVE-2022-24477 آسیب پذیری های دسته “ترفیع اختیارات” در Microsoft Exchange Server هستند. مایکروسافت یک پست وبلاگ برای این بروزرسانی در Exchange Server منتشر کرده است.
هر سه مورد این ضعفها، امتیاز CVSSv3 8.0 را دریافت کردند و براساس شاخص بهرهبرداری مایکروسافت امتیاز “احتمال سواستفاده” بالایی را دریافت کردهاند. Tianze Ding با آزمایشگاه امنیت Tencent Xuanwu ضمن کشف این آسیب پذیری ها اعتبار زیادی کسب کرد.
هر سه این آسیبپذیری ها برای بهرهبرداری و سواستفاده نیاز به احراز هویت و تعامل کاربر دارند. به عنوان مثال: مهاجم باید هدف را برای بازدید از یک صفحه فیشینگ خاص و دستکاری سرور Exchange، ترغیب کند.
مایکروسافت همچنین خاطر نشان میکند که ویژگی Extended Protection باید برای کاهش کامل این آسیب پذیری ها فعال شود.
راهنمایی مرتبط با این ویژگی را میتوانید اینجا مطالعه کنید.
CVE-2022-35755 و CVE-2022-35793 آسیبپذیریهای دسته “ترفیع اختیارات” در مؤلفههای Windows Print Spooler هستند که هر دو امتیاز CVSSv3 7.3 را دریافت کردند و در مایکروسافت با «احتمال زیاد بهرهبرداری» رتبهبندی شدند. این آسیبپذیریها توسط Xuefeng Li کشف شد که سابقه طولانی در افشای نقصهای Print Spooler دارد.
CVE-2022-35755 را میتوان با استفاده از یک “فایل ورودی” مورد سوء استفاده قرار داد، در حالی که بهرهبرداری از CVE-2022-35793 نیاز به کلیک کاربر روی یک URL ساخته شده خاص دارد.
نکته اینجاست که هر دو ضعف، به مهاجم دسترسی SYSTEM را میدهند.
هر دو آسیبپذیری را میتوان با غیرفعال کردن سرویس Print Spooler کاهش داد، اختصاصا CVE-2022-35793 را نیز میتوان با غیرفعال کردن ویژگی چاپ ورودی از راه دور و از طریق Group Policy کاهش داد.
CVE-2022-34691 یک آسیب پذیری EOP (ترفیع اختیارات) است که بر روی سرویس Active Directory تأثیر میگذارد. این آسیب پذیری امتیاز 8.8 CVSSv3 را دریافت کرده است و میتواند توسط یک مهاجم احراز هویت شده برای دستکاری ویژگیهای حسابها و احتمالاً دریافت گواهی از Active Directory Certificate Services مورد سوء استفاده قرار گیرد.
این گواهی به مهاجم اجازه میدهد تا دسترسی های خود را افزایش دهد. البته توضیحات مرتبط با آن، اشاره میکند که سواستفاده از این آسیب پذیری تنها زمانی امکانپذیر است که سرویس گواهی اکتیو دایرکتوری (ADCS) بر روی دامین اجرا شود.
لیست کامل آسیب پذیری های برطرف شده، در وبسایت رسمی مایکروسافت درج شده است که میتوانید در لینک زیر مطالعه بفرمایید:
https://msrc.microsoft.com/update-guide/vulnerability
منابع
https://msrc.microsoft.com/update-guide/vulnerability
https://www.tenable.com/blog/microsofts-august-2022-patch-tuesday-addresses-118-cves-cve-2022-34713