گزارش اصلاحیه امنیتی مایکروسافت در ماه آگوست ۲۰۲۲
#مایکروسافت در بهروزرسانی روز سهشنبه ۹ آگوست ۲۰۲۲، ۱۱۸ #آسیبپذیری را در محصولات خود برطرف کرده است. از این ۱۱۸ آسیبپذیری، ۱۷ مورد دارای شدت بحرانی و ۱۰۱ مورد به عنوان مهم طبقهبندی شدهاند.
این ۱۱۸ نقص شامل آسیبپذیریهای زیر بودهاند:
- ۳۱ مورد Remote Code Execution
- ۶۴ مورد Elevation of Privilege
- ۷ مورد Denial of Service
- ۱۲ مورد Information Disclosure
- ۱ مورد Spoofing
- ۳ مورد Security Feature Bypass
طبق نمودار زیر، سهم بالاتر مربوط به Elevation of privilege (EoP) و پس از آن، Remote Code Execution (RCE) از آسیبپذیریهای وصلهشده در این ماه را تشکیل میدهند.
برخی از آسیبپذیریهای مهم این ماه به شرح زیر میباشند:
• CVE-2022-21980، CVE-2022-24516 و CVE-2022-24477: آسیبپذیریهای ارتقاء سطح دسترسی در Microsoft Exchange Server: این سه آسیبپذیری با شدت "بحرانی" در Microsoft Exchange Server وجود دارند و برای بهرهبرداری موفق نیازمند احراز هویت و تعامل با کاربر هستند. بنابراین مهاجم باید قربانی را با روشهایی مانند فیشینگ به بازدید از یک Exchange server ساختگی ترغیب کند تا بتواند از این آسیبپذیریها بهرهبرداری نماید. مایکروسافت به منظور کاهش خطرات ناشی از این آسیبپذیریها فعالسازی Extended Protection را توصیه میکند.
• CVE-2022-35804: آسیبپذیری اجرای کد از راه دور در کلاینت و سرور پروتکل SMB: یک آسیبپذیری RCE با شدت "بحرانی" که سرور و کلاینتِ Message Block (SMB) Server را در سیستمهایی که دارای سیستمعامل Windows 11 هستند و از پروتکل Microsoft SMB 3.1.1 (SMBv3) استفاده میکنند تحت تأثیر قرار میدهد. این آسیبپذیری یادآور آسیبپذیریهای قبلی SMB مانند آسیبپذیری اخیر«EternalDarkness» با شناسه CVE-2020-0796 است که یک نقص RCE در SMB 3.1.1 بود و یا نقص EternalBlue SMBv1 که در MS17-010 در مارس ۲۰۱۷ وصله شد و به عنوان بخشی از رخداد WannaCry مورد سوءاستفاده قرار گرفت. از آنجا هر گونه نقصی در این پروتکل میتواند سناریوی WannaCry دوم را منجر شود بنابراین هر چه سریعتر باید اقدامات لازم جهت رفع این آسیبپذیری صورت گیرد.
• CVE-2022-34691: آسیبپذیری ارتقاء سطح دسترسی در Active Directory Domain Services: این آسیبپذیری با شدت "بحرانی"، میتواند توسط یک مهاجم احراز هویت شده برای دستکاری attributeهای حسابهای کاربری و احتمالاً دریافت گواهی از Active Directory Certificate Services مورد سوءاستفاده قرار گیرد. این گواهی به مهاجم اجازه میدهد سطح دسترسی خود را ارتقاء دهد. بهرهبرداری از این نقص تنها در صورتی امکانپذیر است که Active Directory Certificate Services بر روی دامنه در حال اجرا باشد.
• CVE-2022-34713 و CVE-2022-35743: آسیبپذیریهای اجرای کد از راه دور در ابزار Microsoft Windows Support Diagnostic Tool (MSDT) : این آسیبپذیریها که به عنوان "مهم" دستهبندی شدهاند، نقصهای RCE در ابزار تشخیصی پشتیبانی مایکروسافت به نام MSDT هستند. نقص CVE-2022-34713 اولین بار در ژانویه ۲۰۲۰ فاش شد و مایکروسافت تصمیم گرفت این نقص را در آن زمان برطرف نکند، اما به دنبال افزایش علاقه به MSDT که با کشف و بهرهبرداری از نقص CVE-2022-30190 (aka Follina) برانگیخته شد، مایکروسافت این آسیبپذیری را در این ماه اصلاح کرد. به گفتهی محققانِ Proofpoint، Symantec و Cyberint، مهاجمان Follina را در کمپینهای خود گنجاندهاند و در کمین حمله هستند، بنابراین اکیداً به سازمانها توصیه میشود در اسرع وقت وصلههای موجود را برای این آسیبپذیریها اعمال کنند.
• CVE-2022-35755 و CVE-2022-35793: آسیبپذیریهای ارتقاء سطح دسترسی در Windows Print Spooler: این آسیبپذیریها که به عنوان "مهم" دستهبندی شدهاند، در مؤلفههای Windows Print Spooler وجود دارند. آسیبپذیری CVE-2022-35755 را میتوان با استفاده از یک "فایل ورودی" ساختگی مورد سوءاستفاده قرار داد، در حالی که بهرهبرداری از CVE-2022-35793 نیاز به کلیک کاربر بر روی یک URL ساختگی خاص دارد. بهرهبرداری موفق از هر دو آسیبپذیری سطح دسترسی SYSTEM را به مهاجم میدهند. با غیرفعال کردن سرویس Print Spooler میتوان خطرات هر دو آسیبپذیری را کاهش داد، اما برای نقص CVE-2022-35793، اقدام کاهشی از طریق غیرفعال کردن inbound remote printing در Group Policy نیز امکانپذیر است.
• ۳۱ آسیبپذیری ارتقاء سطح دسترسی در Azure Site Recovery :Azure Site Recovery مجموعهای از ابزارهای مورد استفاده برای بازگشت از فاجعه است که در این ماه تعداد قابل توجهی از آسیبپذیریهای آن وصله شده است. تمام این آسیبپذیریها تحت عنوان "مهم" دستهبندی شدهاند.
محصولات تحت تأثیر
- .NET Core
- Active Directory Domain Services
- Azure Batch Node Agent
- Azure Real Time Operating System
- Azure Site Recovery
- Azure Sphere
- Microsoft ATA Port Driver
- Microsoft Bluetooth Driver
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Windows Support Diagnostic Tool (MSDT)
- Remote Access Service Point-to-Point Tunneling Protocol
- Role: Windows Fax Service
- Role: Windows Hyper-V
- System Center Operations Manager
- Visual Studio
- Windows Bluetooth Service
- Windows Canonical Display Driver
- Windows Cloud Files Mini Filter Driver
- Windows Defender Credential Guard
- Windows Digital Media
- Windows Error Reporting
- Windows Hello
- Windows Internet Information Services
- Windows Kerberos
- Windows Kernel
- Windows Local Security Authority (LSA)
- Windows Network File System
- Windows Partition Management Driver
- Windows Point-to-Point Tunneling Protocol
- Windows Print Spooler Components
- Windows Secure Boot
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows Storage Spaces Direct
- Windows Unified Write Filter
- Windows WebBrowser Control
- Windows Win32K
نحوهی وصله یا بهروزرسانی محصولات آسیبپذیر در لینک زیر آورده شده است:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug
منبع خبر: https://cert.ir/news/13413