گزارش اصلاحیه امنیتی مایکروسافت در ماه آگوست ۲۰۲۲

۱۴۰۱/۵/۱۹ - ۲۰:۵

#‫مایکروسافت در به‌روزرسانی روز سه‌شنبه ۹ آگوست ۲۰۲۲، ۱۱۸ #‫آسیب‌پذیری را در محصولات خود برطرف کرده است. از این ۱۱۸ آسیب‌پذیری، ۱۷ مورد دارای شدت بحرانی و ۱۰۱ مورد به عنوان مهم طبقه‌بندی شده‌اند.

این ۱۱۸ نقص شامل آسیب‌پذیری‌های زیر بوده‌اند:

  • ۳۱ مورد Remote Code Execution
  • ۶۴ مورد Elevation of Privilege
  • ۷ مورد Denial of Service
  • ۱۲ مورد Information Disclosure
  • ۱ مورد Spoofing
  • ۳ مورد Security Feature Bypass

طبق نمودار زیر، سهم بالاتر مربوط به Elevation of privilege ‪(EoP)‬ و پس از آن، Remote Code Execution ‪(RCE)‬ از آسیب‌پذیری‌های وصله‌شده در این ماه را تشکیل می‌دهند.

برخی از آسیب‌پذیری‌های مهم این ماه به شرح زیر می‌باشند:
CVE-2022-21980، CVE-2022-24516 و CVE-2022-24477: آسیب‌پذیری‌های ارتقاء سطح دسترسی در Microsoft Exchange Server: این سه آسیب‌پذیری با شدت "بحرانی" در Microsoft Exchange Server وجود دارند و برای بهره‌برداری موفق نیازمند احراز هویت و تعامل با کاربر هستند. بنابراین مهاجم باید قربانی را با روش‌هایی مانند فیشینگ به بازدید از یک Exchange server ساختگی ترغیب کند تا بتواند از این آسیب‌پذیری‌ها بهره‌برداری نماید. مایکروسافت به منظور کاهش خطرات ناشی از این آسیب‌پذیری‌ها فعال‌سازی Extended Protection را توصیه می‌کند.
CVE-2022-35804: آسیب‌پذیری اجرای کد از راه دور در کلاینت و سرور پروتکل SMB: یک آسیب‌پذیری RCE با شدت "بحرانی" که سرور و کلاینتِ Message Block (SMB) Server را در سیستم‌هایی که دارای سیستم‌عامل Windows 11 هستند و از پروتکل Microsoft SMB 3.1.1 ‪(SMBv3)‬ استفاده می‌کنند تحت تأثیر قرار می‌دهد. این آسیب‌پذیری یادآور آسیب‌پذیری‌های قبلی SMB مانند آسیب‌پذیری اخیر«EternalDarkness» با شناسه CVE-2020-0796 است که یک نقص RCE در SMB 3.1.1 بود و یا نقص EternalBlue SMBv1 که در MS17-010 در مارس ۲۰۱۷ وصله شد و به عنوان بخشی از رخداد WannaCry مورد سوءاستفاده قرار گرفت. از آنجا هر گونه نقصی در این پروتکل می‌تواند سناریوی WannaCry دوم را منجر شود بنابراین هر چه سریع‌تر باید اقدامات لازم جهت رفع این آسیب‌پذیری صورت گیرد.
CVE-2022-34691: آسیب‌پذیری ارتقاء سطح دسترسی در Active Directory Domain Services: این آسیب‌پذیری با شدت "بحرانی"، می‌تواند توسط یک مهاجم احراز هویت شده برای دستکاری attributeهای حساب‌های کاربری و احتمالاً دریافت گواهی از Active Directory Certificate Services مورد سوءاستفاده قرار گیرد. این گواهی به مهاجم اجازه می‌دهد سطح دسترسی خود را ارتقاء دهد. بهره‌برداری از این نقص تنها در صورتی امکان‌پذیر است که Active Directory Certificate Services بر روی دامنه در حال اجرا باشد.
CVE-2022-34713 و CVE-2022-35743: آسیب‌پذیری‌های اجرای کد از راه دور در ابزار Microsoft Windows Support Diagnostic Tool ‪(MSDT)‬ : این آسیب‌پذیری‌ها که به عنوان "مهم" دسته‌بندی شده‌اند، نقص‌های RCE در ابزار تشخیصی پشتیبانی مایکروسافت به نام MSDT هستند. نقص CVE-2022-34713 اولین بار در ژانویه ۲۰۲۰ فاش شد و مایکروسافت تصمیم گرفت این نقص را در آن زمان برطرف نکند، اما به دنبال افزایش علاقه به MSDT که با کشف و بهره‌برداری از نقص CVE-2022-30190 ‪(aka Follina)‬ برانگیخته شد، مایکروسافت این آسیب‌پذیری را در این ماه اصلاح کرد. به گفته‌ی محققانِ Proofpoint، Symantec و Cyberint، مهاجمان Follina را در کمپین‌های خود گنجانده‌اند و در کمین حمله هستند، بنابراین اکیداً به سازمان‌ها توصیه می‌شود در اسرع وقت وصله‌های موجود را برای این آسیب‌پذیری‌ها اعمال کنند.
CVE-2022-35755 و CVE-2022-35793: آسیب‌پذیری‌های ارتقاء سطح دسترسی در Windows Print Spooler: این آسیب‌پذیری‌ها که به عنوان "مهم" دسته‌‌بندی شده‌اند، در مؤلفه‌های Windows Print Spooler وجود دارند. آسیب‌پذیری CVE-2022-35755 را می‌توان با استفاده از یک "فایل ورودی" ساختگی مورد سوءاستفاده قرار داد، در حالی که بهره‌برداری از CVE-2022-35793 نیاز به کلیک کاربر بر روی یک URL ساختگی خاص دارد. بهره‌برداری موفق از هر دو آسیب‌پذیری سطح دسترسی SYSTEM را به مهاجم می‌دهند. با غیرفعال کردن سرویس Print Spooler می‌توان خطرات هر دو آسیب‌پذیری‌ را کاهش داد، اما برای نقص CVE-2022-35793، اقدام کاهشی از طریق غیرفعال کردن inbound remote printing در Group Policy نیز امکان‌پذیر است.
۳۱ آسیب‌پذیری ارتقاء سطح دسترسی در Azure Site Recovery :Azure Site Recovery مجموعه‌ای از ابزارهای مورد استفاده برای بازگشت از فاجعه است که در این ماه تعداد قابل توجهی از آسیب‌پذیری‌های آن وصله شده است. تمام این آسیب‌پذیری‌ها تحت عنوان "مهم" دسته‌بندی شده‌اند.

محصولات تحت تأثیر

  • .NET Core
  • Active Directory Domain Services
  • Azure Batch Node Agent
  • Azure Real Time Operating System
  • Azure Site Recovery
  • Azure Sphere
  • Microsoft ATA Port Driver
  • Microsoft Bluetooth Driver
  • Microsoft Edge ‪(Chromium-based)‬
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Windows Support Diagnostic Tool ‪(MSDT)‬
  • Remote Access Service Point-to-Point Tunneling Protocol
  • Role: Windows Fax Service
  • Role: Windows Hyper-V
  • System Center Operations Manager
  • Visual Studio
  • Windows Bluetooth Service
  • Windows Canonical Display Driver
  • Windows Cloud Files Mini Filter Driver
  • Windows Defender Credential Guard
  • Windows Digital Media
  • Windows Error Reporting
  • Windows Hello
  • Windows Internet Information Services
  • Windows Kerberos
  • Windows Kernel
  • Windows Local Security Authority ‪(LSA)‬
  • Windows Network File System
  • Windows Partition Management Driver
  • Windows Point-to-Point Tunneling Protocol
  • Windows Print Spooler Components
  • Windows Secure Boot
  • Windows Secure Socket Tunneling Protocol ‪(SSTP)‬
  • Windows Storage Spaces Direct
  • Windows Unified Write Filter
  • Windows WebBrowser Control
  • Windows Win32K

نحوه‌ی وصله یا به‌روزرسانی محصولات آسیب‌پذیر در لینک زیر آورده شده است:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug

منبع خبر: https://cert.ir/news/13413