به‌روزرسانی‌ها و اصلاحیه‌های آبان ۱۴۰۰

مـایـکـروسـافـت

سه‌شنبه 18 آبان، شرکت مایکروسافت (Microsoft Corp)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی نوامبر منتشر کرد. اصلاحیه‌های مذکور 55 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

درجه اهمیت 6 مورد از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” (Critical) و 49 مورد دیگر “مهم” (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:

• “ترفیع امتیازی” (Elevation of Privilege)
• “اجرای کد به صورت از راه دور” (Remote Code Execution)
• “افشای اطلاعات” (Information Disclosure)
• “جعل” (Spoofing)
• “عبور از سد امکانات امنیتی” (Security Feature Bypass)
• “منع سرویس” (Denial of Service – به اختصار DoS)

6 مورد از آسیب‌پذیری‌های ترمیم شده این ماه، از نوع “روز-صفر” (شناسه‌های CVE-2021-42292،وCVE-2021-42321،وCVE-2021-38631،وCVE-2021-41371،وCVE-2021-43208 و CVE-2021-43209) می‌باشند. 2 مورد از آسیب‌پذیری‌های “روز-صفر” ترمیم شده در این ماه به طور فعال مورد سوءاستفاده قرار گرفته‌اند. مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

فهرست 2 ضعف امنیتی “روز-صفر” این ماه که به طور فعال مورد سوءاستفاده قرار گرفته‌اند به شرح زیر است:

• CVE-2021-42292: درجه اهمیت این ضعف امنیتی از نوع “مهم” بوده و مهاجم می‌تواند از این آسیب‌پذیری در Microsoft Excel برای عبور از سد امکانات امنیتی در ماشین‌های مورد نظر سوءاستفاده کند. اکنون که فایل‌های پیوست ایمیل، عامل اصلی آلودگی سیستم‌ها می‌باشند، مهاجم می‌تواند از این آسیب‌پذیری برای افزایش کارایی حملات خود با اجتناب از نمایش اعلان امنیتی و در نتیجه کاهش مهندسی اجتماعی لازم برای آلوده کردن قربانی استفاده کند. لازم به توضیح است که به‌روزرسانی امنیتی Microsoft Office for Mac هنوز منتشر نشده است.
• CVE-2021-42321: دومین ضعف امنیتی “روز-صفر” که به طور فعال مورد سوءاستفاده قرار گرفته، بر سرور Microsoft Exchange تأثیر می‌گذارد و به دلیل اعتبار سنجی نامناسب آرگومان‌های cmdlet، می‌تواند منجر به “اجرای کد به صورت از راه دور” شود. اگرچه، مهاجمان باید احراز هویت شوند.

در سپتامبر، مایکروسافت یک ویژگی جدید به نام Microsoft Exchange Emergency Mitigation (EM) در سرورهای Exchange اضافه کرد که حفاظت خودکار را برای سرورهای آسیب‌پذیر فراهم می‌کرد. راهکار حفاظتی مذکور با اعمال خودکار کاهش موقتی اثرات مخرب ناشی از باگ‌های امنیتی پرخطر، سرورهای داخلی را در برابر حملات ورودی ایمن می‌کند و به مدیران وقت بیشتری برای اعمال به‌روزرسانی‌های امنیتی می‌دهد. با این که از این قابلیت جدید در سرورهای Exchange جهت کاهش اثر سوء ضعف‌هایی که به صورت فعال مورد بهره‌جویی قرار گرفته، استفاده می‌شود، در به‌روزرسانی‌های امنیتی ماه نوامبر مایکروسافت هیچ اشاره‌ای به استفاده از Exchange EM برای CVE-2021-42321 نشده است. لذا توصیه اکید می‌شود که راهبران امنیتی در اسرع وقت نسبت به نصب آخرین وصله در سرورهای Exchange اقدام نمایند.

4 آسیب‌پذیری دیگر ترمیم شده در این ماه که جزییات آن به صورت عمومی افشاء شده در ادامه شرح داده شده است، هر چند تا این لحظه سوءاستفاده مهاجمان از این آسیب‌پذیری‌ها در حملات گزارش نشده است.

• CVE-2021-38631: این ضعف امنیتی از نوع “افشای اطلاعات” است و پودمان Remote Desktop Protocol – به اختصار RDP – در سیستم عامل Windows از آن تاثیر می‌پذیرد.
• CVE-2021-41371: این آسیب‌پذیری نیز از نوع “افشای اطلاعات” بوده و پودمان RDP را متأثر می‌کند. ضعف امنیتی مذکور قبل از انتشار وصله (Patch) شناخته شده بود و می‌تواند به صورت محلی جهت نشت اطلاعات مورد سوءاستفاده قرار گیرد.
• CVE-2021-43208: پنجمین ضعف امنیتی “روز-صفر” می‌تواند توسط مهاجم محلی برای اجرای “کد از راه دور” در Microsoft 3D Viewer مورد سوءاستفاده قرار بگیرد.
• CVE-2021-43209: آخرین ضعف امنیتی “روز-صفر” در 3D Viewer بوده که جزییات آن به صورت عمومی افشاء شده و مهاجم می‌تواند از آن برای “اجرای کد از راه دور” سوءاستفاده کند.

یکی از آسیب‌پذیری‌های بسیار مهم ترمیم شده در این ماه، ضعفی با شناسه CVE-2021-38666 می‌باشد، که از نوع “اجرای کد از راه دور” بوده و Remote Desktop Client از آن تاثیر می‌پذیرد. ضعف امنیتی مذکور دارای درجه اهمیت “حیاتی” است و مهاجمی که کنترل Remote Desktop Server را در اختیار دارد، می‌تواند از این آسیب‌پذیری برای اجرای کد از راه دور در ماشین Client سوءاستفاده کند. به این صورت که مهاجم قربانی را فریب می‌دهد تا به سرور تحت کنترل مهاجم، که نسخه آسیب‌پذیر Remote Desktop Client را اجرا می‌کند، متصل شود. مهاجم می‌تواند تحت شرایط خاص از این آسیب‌پذیری برای کسب امتیازات بیشتر یا گسترش آلودگی در سطح شبکه (Lateral Movement) استفاده کند.

یکی دیگر از آسیب‌پذیری‌های “اجرای کد از راه دور” با درجه اهمیت “حیاتی”، ضعفی با شناسه CVE-2021-42298 در Windows Defender است، سرویس ضد‌ویروس رایگانی که به صورت پیش‌فرض در تمام دستگاه‌های Windows نصب شده است. یک فایل دستکاری شده خاص  زمانی که توسط Windows Defender پویش می‌شود یا هنگامی که توسط کاربر باز شود، می‌تواند باعث اجرا و فعال شدن ضعف امنیتی مذکور شود. مهاجم با این روش می‌تواند سیستم راه دوری را که در آن یک فایل مخرب از طریق ایمیل یا برنامه‌های پیام رسانی فوری تحویل داده شده، آلوده کند.

دیگر ضعف امنیتی “حیاتی”، CVE-2021-26443 است که Microsoft Virtual Machine Bus از آن متاثر می‌شود و دارای درجه شدت 9 از 10 است. سوءاستفاده از این آسیب‌پذیری می‌تواند منجر به اجرای فرمان از روی ماشین مجازی میهمان (Guest VM) بر روی دستگاه میزبان (Host VM) شده و از این طریق موجب “ترفیع امتیازی” شود.

با توجه به این‌که برخی از ضعف‌های امنیتی این ماه به طور فعال مورد سوءاستفاده قرار گرفته، توصیه می‌شود کاربران در اسرع وقت نسبت به به‌روز‌رسانی وصله‌ها اقدام نمایند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های نوامبر ۲۰۲۱ مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده قابل مطالعه است:

https://afta.gov.ir/portal/home/?news/235046/237266/244673/

همچنین در 24 آبان ماه، شرکت مایکروسافت در گزارشی اقدام به انتشار به‌روزرسانی‌های اضطراری جهت ترمیم خطاهایی که مربوط به اعطای مجوز Kerberos می‌باشند، نمود. باگ‌های مذکور پس از نصب به‌روزرسانی‌های امنیتی ماه میلادی نوامبر ۲۰۲۱ بر روی سرورهای Domain Controller که درنسخه‌های مختلف Windows Server  اجرا می‌شوند، رخ داده است.

عدم اعمال این به‌روزرسانی اضطراری ممکن است باعث خطاهای احراز هویت مربوط به Kerberos Tickets که از طریق Service for User to Self – به اختصار S4U2self حاصل شده است، شود. جزییات بیشتر در گزارش زیر قابل مطالعه است:

https://newsroom.shabakeh.net/22779/microsoft-emergency-updates-fix-windows-server-auth-issues.html

سـیسـکو

شرکت سیسکو (Cisco Systems, Inc.) در آبان ماه در چندین نوبت اقدام به عرضه به‌روز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این به‌روز‌رسانی‌ها، 48 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 3 مورد از آن‌ها “حیاتی”، 13 مورد از آنها از نوع “بالا” (High) و 32 مورد از نوع “متوسط” (Medium) گزارش شده است. آسیب‌پذیری به حملاتی همچون “منع سرویس”، “تزریق کد از طریق سایت” (Cross-Site Scripting)، “ترفیع امتیازی”، “تزریق فرمان” (Command Injection)، “افشای اطلاعات” و “سرریز حافظه” (Buffer Overflow) از جمله مهمترین اشکالات مرتفع شده توسط به‌روزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌دیده سوء‌استفاده کند. توضیحات کامل در مورد به‌روزرسانی‌های عرضه شده در لینک زیر قابل دسترس است:

https://tools.cisco.com/security/center/publicationListing.x

مـک‌آفـی اینتـرپـرایز

در آبان 1400، شرکت مک‌آفی اینترپرایز (McAfee Enterprise) با انتشار توصیه‌نامه، از ترمیم دو آسیب‌پذیری با شناسه‌های CVE-2021-31848 و CVE-2021-31849 در نسخه 11.6.400 نرم‌افزار McAfee DLP Endpoint خبر داد. این شرکت با عرضه نسخه 7.3.0 HF2 نرم‌افزار McAfee Drive Encryption، ضعفی با شناسه CVE-2021-31853 را نیز در این محصول اصلاح کرد. جزییات بیشتر در توصیه‌نامه‌های زیر قابل دریافت و مطالعه است:

https://kc.mcafee.com/corporate/index?page=content&id=SB10371

https://kc.mcafee.com/corporate/index?page=content&id=SB10374

همچنین مک‌آفی اینترپرایز، در آبان، نسخه November 2021 نرم‌افزار McAfee Endpoint Security را منتشر کرد که تغییرات لحاظ شده در این نسخه در لینک زیر قابل دسترس است:

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-release-notes/page/GUID-DF4BB39D-EED2-40C6-BD54-6A62EBE68E3F.html

بـیـت‌دیـفنـدر

در ماهی که گذشت شرکت بیت‌دیفندر (Bitdefender) با انتشار نسخ جدید، در مجموع چهار باگ امنیتی را در محصولات Bitdefender Endpoint Security Tools و Bitdefender GravityZone ترمیم و اصلاح کرد. اطلاعات بیشتر در خصوص باگ‌های مذکور در لینک‌های زیر قابل دریافت و مطالعه است:

https://www.bitdefender.com/support/security-advisories/privilege-escalation-via-seimpersonateprivilege-in-bitdefender-endpoint-security-tools-va-9848

https://www.bitdefender.com/support/security-advisories/incorrect-default-permissions-vulnerability-in-bdservicehost-exe-and-vulnerability-scan-exe-va-9848

https://www.bitdefender.com/support/security-advisories/path-traversal-vulnerability-in-bitdefender-gravitzone-update-server-in-relay-mode-va-10039

https://www.bitdefender.com/support/security-advisories/improper-link-resolution-before-file-access-in-bitdefender-endpoint-security-tools-for-windows-va-9921

کسـپرسـکی

شرکت کسپرسکی (AO Kaspersky Lab) در 10 آبان از ترمیم یک ضعف امنیتی با شناسه CVE-2021-35053 و از نوع “از کاراندازی سرویس” در چندین محصول خود از جمله Kaspersky Small Office Security و Kaspersky Endpoint Security خبر داد. توضیحات این شرکت در مورد آسیب‌پذیری مذکور در لینک زیر قابل مطالعه است:

https://support.kaspersky.com/general/vulnerability.aspx?el=12430#01112021

وی‌ام‌ور

در ماهی که گذشت، شرکت وی‌ام‌ور (VMware, Inc) با انتشار توصیه‌نامه‌های امنیتی، نسبت به ترمیم محصولات زیر اقدام کرد:

• VMware Cloud Foundation
• VMware vCenter Server
• VMware Tanzu Application Service for VMs

سوءاستفاده از برخی از ضعف‌های امنیتی ترمیم شده توسط این به‌روزرسانی‌ها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. جزییات بیشتر آن در لینک‌‌ زیر قابل مطالعه است:

https://www.vmware.com/security/advisories.html

ادوبـی

در آبان ماه، شرکت ادوبی (.Adobe, Inc) اقدام به انتشار به‌روزرسانی برای محصولات زیر کرد.

• Adobe After Effects
• Adobe Animate
•  Adobe Audition
• Adobe Bridge
• Adobe Campaign Standard
• Adobe Character Animator
• Adobe Creative Cloud Desktop Application
• Adobe Experience Manager
• Adobe Illustrator
• Adobe InCopy
• Adobe InDesign
• Adobe Lightroom Classic
• Adobe Media Encoder
• Adobe Photoshop
•  Adobe Prelude
• Adobe Premiere Elements
• Adobe Premiere Pro
• Adobe RoboHelp Server
•  Adobe XMP Toolkit SDK

اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه نوامبر ادوبی در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

گـوگـل

شرکت گوگل (Google, LLC) در آبان ماه، در چندین نوبت اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 24 آبان ماه انتشار یافت، نسخه 96.0.4664.45 است. فهرست اشکالات مرتفع شده در لینک‌های‌‌ زیر قابل دریافت و مشاهده است:

https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_28.html

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

اپـل

در آبان ماه، شرکت اپل (.Apple, Inc) با انتشار به‌روزرسانی، ضعف‌های امنیتی متعددی را در چندین محصول خود از جمله iOS ،iPadOS ،watchOS ،tvOS ،Safari ،iCloud و macOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیب‌پذیر می‌کند. توصیه می‌شود با مراجعه به نشانی زیر، به‌روزرسانی مربوطه هر چه سریع‌تر اعمال شود.

https://support.apple.com/en-us/HT201222

مـوزیـلا

در ماهی که گذشت شرکت موزیلا (Mozilla, Corp) با ارائه به‌روزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox و نرم‌افزار Thunderbird برطرف کرد. اصلاحیه‌های مذکور، در مجموع 15 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت 9 مورد از آنها “بالا”، 4 مورد “متوسط” (Moderate) و 2 مورد “پایین” (Low) گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

اس‌آپ

اس‌آپ (SAP SE) نیز در 18 آبان 1400 با انتشار مجموعه‌ اصلاحیه‌هایی، 7 آسیب‌پذیری را در چندین محصول خود برطرف کرد. شدت یک مورد از این ضعف‌های امنیتی 9.6 از 10 (بر طبق استانداردCVSS) گزارش شده است. بهره‌جویی از بعضی از آسیب‌پذیری‌های ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864

سیتریکس

در 18 آبان 1400، شرکت سیتریکس (.Citrix Systems, Inc) نیز چند آسیب‌پذیری “منع سرویس” را در نسخه‌های مختلف محصولات زیر ترمیم کرد:

• Virtual Apps and Desktops
• Citrix Application Delivery Controller
• Citrix Gateway
• Citrix SD-WAN WANOP Edition

جزییات آنها در لینک زیر قابل دریافت است:

https://support.citrix.com/article/CTX330728

پالو آلتو نتورکس

در 19 آبان 1400، شرکت پالو آلتو نتورکس (Palo Alto Networks, Inc.‎) با انتشار توصیه‌نامه‌ای، ضعفی به شناسه CVE-2021-3064 را که ضعفی از نوع “دستکاری حافظه” (Memory Corruption Vulnerability) در درگاه GlobalProtect و رابط‌های Gateway می‌باشد، رفع کرد. مهاجم با نفوذ در شبکه از طریق رابط GlobalProtect قابلیت سوءاستفاده از ضعف امنیتی مذکور را پیدا می‌کند و می‌تواند برخی پروسه‌های سیستم را مختل کند و به طور بالقوه منجر به اجرای کد دلخواه (Execution Arbitrary Code) با سطح دسترسی ممتاز می‌شود.

درجه شدت آسیب‌پذیری مذکور 8/9 از 10 (بر طبق استاندارد CVSS) گزارش شده است و بر پیکربندی‌های فایروال 8.1 PAN-OS در نسخه‌های قبل از 8.1.17 تاثیر می‌گذارد. توصیه‌نامه‌های پالو آلتو نتورکس در لینک‌ زیر قابل مطالعه است:

https://security.paloaltonetworks.com/CVE-2021-3064

دروپـال

27 آبان، جامعه دروپال (Drupal Community) با عرضه به‌روزرسانی‌های امنیتی، چندین ضعف امنیتی نسخ 8.9، 9.1 و 9.2 خود را اصلاح کرد. سوءاستفاده از بعضی از این آسیب‌پذیری‌ها مهاجم را قادر به در اختیار گرفتن کنترل سامانه می‌کند. توضیحات کامل در این خصوص در لینک زیر قابل دسترس است.

https://www.drupal.org/sa-core-2021-011