سهشنبه 17 اسفند 1400، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد. اصلاحیههای مذکور بیش از 70 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- “ترفیع اختیارات” (Elevation of Privilege)
- “اجرای کد به صورت از راه دور” (Remote Code Execution)
- “افشای اطلاعات” (Information Disclosure)
- “جعل” (Spoofing)
- “منع سرویس” (Denial of Service – به اختصار DoS)
- “عبور از سد امکانات امنیتی” (Security Feature Bypass)
با این حال، بنا بر اظهارات مایکروسافت، تاکنون هیچ یک از این ضعفهای امنیتی به طور فعال مورد سوءاستفاده قرار نگرفته است.
درجه اهمیت سه مورد از آسیبپذیریهای ترمیم شده این ماه “حیاتی” (Critical) و دیگر موارد “مهم” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “مهم” برطرف و ترمیم میگردند.
آسیبپذیریهای “روز-صفر”
سه مورد از آسیبپذیریهای ترمیم شده این ماه، از نوع “روز-صفر” (شناسههای CVE-2022-21990 ،CVE-2022-24459 و CVE-2022-24512) میباشند اما تاکنون هیچ یک از این آسیبپذیریها بطور گسترده مورد سوءاستفاده قرار نگرفتهاند.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
آسیبپذیریهای “روز-صفر” ترمیم شده در ماه مارس ۲۰۲۲ عبارتند از:
- CVE-2022-21990: آسیبپذیری از نوع “اجرای کد از راه دور” بوده و بر روی Remote Client Desktop تاثیر میگذارد و دارای درجه شدت 8.8 از 10 (بر طبق استاندارد CVSS) میباشد.
- CVE-2022-24459: ضعف امنیتی از نوع “ترفیع اختیارات” بوده و درجه شدت آن 7.8 از 10 (بر طبق استاندارد CVSS) میباشد و Windows Fax و Scan Service از آن متاثر میشوند.
- CVE-2022-24512: آسیبپذیری از نوع “اجرای کد از راه دور” بوده با درجه شدت 6.3 از 10 (بر طبق استاندارد CVSS) و Net. و Visual Studio از آن تاثیر میپذیرند.
با وجود اینکه که هیچ یک از این آسیبپذیریها در حملات مورد سوءاستفاده قرار نگرفته است، مایکروسافت اعلام نموده که نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) ضعفهای امنیتی به شناسه CVE-2022-21990 و CVE-2022-24459 به صورت عمومی منتشر شده است. بنابراین احتمالاً به زودی توسط مهاجمان مورد سوءاستفاده قرار خواهند گرفت.
جزییات آسیبپذیریهای حیاتی
شایان ذکر است که تعداد وصلههای با درجه اهمیت “حیاتی” برای ماه مارس 2022 نیز با توجه به تعداد ضعفهای امنیتی برطرف شده در این ماه همانند ماه قبل به طرز عجیبی کم و تنها سه مورد است. در بروزرسانی و اصلاحیههای ماه فوریه 2022، مایکروسافت هیچ یک از آسیبپذیریهای ترمیم شده را بصورت “حیاتی” رتبهبندی نکرده بود.
فهرست 3 ضعف امنیتی “حیاتی” ترمیم شده سومین ماه از سال میلادی 2022، که همگی میتوانند منجر به اجرای کد از راه دور شوند، به شرح زیر است:
- CVE-2022-22006: ضعف امنیتی با درجه شدت 7.8 از 10 (بر طبق استاندارد CVSS) که بر HEVC Video Extensions تاثیر میگذارد.
- CVE-2022-24501: آسیبپذیری که VP9 Video Extensions را متاثر میکند و دارای درجه شدت 7.8 از 10 (بر طبق استاندارد CVSS) میباشد.
- CVE-2022-23277: این ضعف امنیتی دارای درجه شدت 8.8 از 10 (بر طبق استاندارد CVSS) میباشد و مربوط به Microsoft Exchange Server است.
بهرهجویی از هر دو ضعف امنیتی مربوط به VIDEO Extensions در HEVC و VP9، به مهندسی اجتماعی نیاز دارد. یک مهاجم با فریب قربانی جهت باز نمودن یک فایل مخرب و دستکاری شده میتواند منجر به خرابی سیستم شود. استانداردهای کدنویسی Video Extension جهت فشردهسازی ویدئو بوده و Windows قادر به اجرای آن است تا کاربران بتوانند ویدیوهای با کیفیت بالا را تماشا کنند. از آنجایی که این دو ضعف امنیتی نیاز به دخالت کاربر دارند احتمال سوءاستفاده از آنها کم میباشد.
آسیبپذیری CVE-2022-24501 که دارای درجه اهمیت “حیاتی” و از نوع “اجرای کد از راه دور” است بر VP9 Video Codec تأثیر میگذارد. در واقع این ماه دو ضعف امنیتی در VP9 Video Extension ترمیم شده که هر دو از نوع “اجرای کد از راه دور” است. آسیبپذیری دوم، شناسه CVE-2022-24451 و درجه اهمیت “مهم” دارد. هر دو این آسیبپذیریها از طریق یک فایل ویدئویی مخرب قابل سوءاستفاده هستند و بروزرسانی هر دو آنها ضروری است.
نکته قابل توجه دیگر درباره آسیبپذیریهای VP9 آن است که اصلاحیههای این دو ضعف امنیتی به همراه 9 اصلاحیه دیگر که مربوط به قالبهای مختلف گرافیکی و ویدئویی (HEIF ،HEVC و raw) میشوند، بجای عرضه از طریق سامانه Windows Update، از طریق فروشگاه Microsoft Store ارائه میشوند. علاوه بر اینکه سیستمهای آسیبپذیر بطور خودکار بروزرسانی خواهند شد، نحوه دسترسی به این اصلاحیهها در اطلاعیه مایکروسافت هم توضیح داده شده است.
با این حال، آسیبپذیری CVE-2022-24501 در VP9 Video Extension از اهمیت بسیاری برخوردار است زیرا VP9 منبع باز و رایگان بوده و توسط مرورگرهای مدرن به جز Internet Explorer پشتیبانی میشود، بنابراین ضروری است که کاربران از بروزرسانی آن اطمینان حاصل کنند. ولی کاربران برای بکارگیری HEVC باید آن را خریداری کنند.
آسیبپذیری CVE-2022-23277 دارای درجه اهمیت “حیاتی” و از نوع “اجرای کد از راه دور” بوده و Microsoft Exchange Server از آن تاثیر میپذیرد. با این که مهاجم جهت بهرهجویی از این ضعف امنیتی نیاز به احراز هویت دارد، این آسیبپذیری دارای پیچیدگی کم بوده و احتمال سوءاستفاده از آن “زیاد” است، بنابراین احتمالاً به زودی شاهد بهرهجویی گسترده آن در سرورهای Exchange خواهیم بود. این ضعف امنیتی با سوءاستفاده از سرورهای آسیبپذیر Exchange میتواند به طور بالقوه در حین توسعه آلودگی در شبکه (Lateral Movement) ایمیلهای تجاری را هک کرده و منجر به سرقت دادهها از ایمیل شود. لذا ضروری است با توجه به حملات اخیر به سرورهای Exchange و درجه اهمیت “حیاتی” و ماهیت آسیبپذیری آن، سازمانها بروزرسانی آن را در اولویت قرار دهند.
بنا بر اظهارات محققان مایکروسافت، از میان آسیبپذیریهای ترمیم شده ماه مارس 2022، ضعفهای امنیتی زیر ممکن است بیشتر مورد توجه مهاجمان قرار گیرد.
آسیبپذیری با شناسه CVE-2022-24508 که از نوع “اجرای کد از راه دور” است و Windows SMBv3 Client/Server از آن متاثر میشود، میتواند در Windows 10 نسخه 2004 و نسخههای بالاتر مورد سوءاستفاده قرار گیرد.
از آنجایی که این ضعف امنیتی هم بر Client و هم Server تأثیر میگذارد، مهاجم میتواند از آن جهت توسعه آلودگی در شبکه استفاده کند. این ضعف امنیتی از آنجا ممکن است مورد توجه مهاجمان قرار بگیرد که در هنگام توسعه آلودگی در شبکه در Windows SMB نسخه 3، قابل اجرا از راه دور است. با وجود اینکه بهرهجویی موفقیتآمیز از آن به اطلاعات اصالتسنجی معتبر نیاز دارد، مایکروسافت توصیه هایی در خصوص محدود کردن ترافیک SMB در ارتباطات جانبی و خارجی ارائه میدهد. با این که این امر، گامی قوی در پیشگیری و دفاع از شبکه است، مسدود کردن چنین ارتباطاتی میتواند تأثیر نامطلوبی بر ابزارهای دیگری که از این اتصالات استفاده میکنند، داشته باشد.
با این که این ضعف امنیتی بجای “حیاتی” با درجه اهمیت “مهم” رتبهبندی شده است و تاکنون مورد سوءاستفاده قرار نگرفته و نمونه اثباتگر آن نیز منتشر نشده است، نحوه بهرهجویی از آن، این آسیبپذیری را به یکی از گزینههای احتمالی مهاجمان برای حمله تبدیل کرده و بنابراین باید با اولویت بالایی ترمیم شود.
همچنین سه آسیبپذیری از نوع “ترفیع اختیارات” (CVE-2022-23286 در Windows Cloud Files Mini Filter Driver؛ CVE-2022-24507 در Windows Ancillary Function Driver for WinSock و CVE-2022-23299 در Windows PDEV) باید در اولویت بروزرسانی قرار داده شوند زیرا میتوانند حلقه اتصال در حملات چند مرحلهای باشند و احتمال سوءاستفاده از آنها “زیاد” بوده و مورد علاقه مهاجم هستند.
و در نهایت، ضعف امنیتی با شناسه CVE-2022-21967 که در Xbox Live Authentication در سیستمعامل Windows وجود دارد و میتواند امکان “ترفیع اختیارات” را برای مهاجم فراهم کند. به دلیل منحصر به فرد بودن ممکن است مورد توجه مهاجمان قرار گیرد. به نظر میرسد این اولین وصله امنیتی است که به طور خاص Xbox را تحت تاثیر قرار میدهد. در سال 2015 توصیهنامهای برای افشای سهوی لیسانس Xbox Live ارائه شد، اما به نظر میرسد این اولین بروزرسانی امنیتی خاص برای خود این دستگاه باشد.
با توجه به اینکه نمونه اثباتگر برخی از ضعفهای امنیتی این ماه منتشر شده، باید انتظار داشت که مهاجمان این آسیبپذیریها را تحلیل نموده و نحوه بهرهجویی از آنها را بیاموزند، لذا توصیه میشود کاربران در اسرع وقت نسبت به بروزرسانی وصلهها اقدام نمایند.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای مارس 2022 مایکروسافت در جدول زیر قابل مطالعه است.
تاریخ انتشار | تاریخ آخرین بهروزرسانی | شناسه CVE | عنوان آسیبپذیری | افشای عمومی | احتمال سوءاستفاده |
Mar 8, 2022 | Mar 8, 2022 | Visual Studio Code Spoofing Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Update Stack Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Skype Extension for Chrome Information Disclosure Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | .NET and Visual Studio Remote Code Execution Vulnerability | Yes | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Office Word Tampering Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Office Visio Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Office Visio Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows ALPC Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Remote Desktop Protocol Client Information Disclosure Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows HTML Platforms Security Feature Bypass Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | VP9 Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Azure Site Recovery Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Intune Portal for iOS Security Feature Bypass Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | .NET and Visual Studio Denial of Service Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Exchange Server Spoofing Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Word Security Feature Bypass Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Office Visio Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Tablet Windows User Interface Application Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Fax and Scan Service Elevation of Privilege Vulnerability | Yes | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEIF Image Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows CD-ROM Driver Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Security Support Provider Interface Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | VP9 Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Raw Image Extension Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows PDEV Elevation of Privilege Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Windows NT OS Kernel Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows NT Lan Manager Datagram Receiver Driver Information Disclosure Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Installer Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Raw Image Extension Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Event Tracing Remote Code Execution Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Windows Fast FAT File System Driver Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows DWM Core Library Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Inking COM Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows DWM Core Library Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows ALPC Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Remote Desktop Client Remote Code Execution Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Windows Print Spooler Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows ALPC Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Paint 3D Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Common Log File System Driver Information Disclosure Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Defender for Endpoint Spoofing Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Exchange Server Remote Code Execution Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Defender for IoT Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Microsoft Defender for IoT Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Point-to-Point Tunneling Protocol Denial of Service Vulnerability | No | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Media Foundation Information Disclosure Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Remote Desktop Client Remote Code Execution Vulnerability | Yes | زیاد | |
Mar 8, 2022 | Mar 8, 2022 | Media Foundation Information Disclosure Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Hyper-V Denial of Service Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Windows Media Center Update Denial of Service Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Xbox Live Auth Manager for Windows Elevation of Privilege Vulnerability | No | کم | |
Feb 8, 2022 | Mar 8, 2022 | Microsoft Dynamics 365 (on-premises) Remote Code Execution Vulnerability | No | کم | |
Nov 9, 2021 | Mar 8, 2022 | OpenSSL: CVE-2021-3711 SM2 Decryption Buffer Overflow | No | کم | |
Aug 10, 2021 | Mar 8, 2022 | Windows Digital TV Tuner device registration application Elevation of Privilege Vulnerability | No | کم | |
Mar 8, 2022 | Mar 8, 2022 | Brotli Library Buffer Overflow Vulnerability | No | کم | |
Nov 13, 2018 | Mar 8, 2022 | Latest Servicing Stack Updates | No |
منابع:
https://msrc.microsoft.com/update-guide/vulnerability
https://threatpost.com/microsoft-zero-days-critical-bugsmarch-patch-tuesday/178817/