سهشنبه 24 خرداد 1401، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژوئن منتشر کرد. اصلاحیههای مذکور بیش از 50 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. تعداد ضعفهای ترمیم شده در این ماه همانند ماه فوریه 2022 نسبتاً کم بوده و تنها درجه اهمیت 3 مورد از آسیبپذیریهای ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “مهم” برطرف و ترمیم میگردند.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «ترفیع اختیارات» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «جعل» (Spoofing)
- «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
- «عبور از سد امکانات امنیتی» (Security Feature Bypass)
آسیبپذیری روز-صفر
تنها یک مورد از آسیبپذیریهای ترمیم شده این ماه، از نوع «روز-صفر» با شناسه CVE-2022-30190 میباشد که به آسیبپذیری Follina مشهور شده و به طور گسترده در حملات مورد سوءاستفاده قرار گرفته است. مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
آسیبپذیری CVE-2022-30190 دارای درجه اهمیت «مهم» بوده و از نوع «اجرای کد از راه دور» است. با سوءاستفاده از این آسیبپذیری، فرامین مخرب PowerShell از طریق ابزار تشخیص و پشتیبانی مایکروسافت (Microsoft Support Diagnostic Tool – به اختصار MSDT) اجرا میشوند.
مهاجمان با بهرهجویی از این ضعف امنیتی، قادر به عبور از تمام محافظتهای امنیتی، از جمله گزینه Protected View در نرمافزارهای Office بوده و تنها با باز کردن یک فایل Word، فرامین مخرب PowerShell اجرا میشدند.
پس از افشای این آسیبپذیری، مهاجمان بلافاصله شروع به سوءاستفاده از آن در حملات گسترده فیشینگ (Phishing) برای توزیع بدافزار QBot کردند و سازمانهای بسیاری را در جهان مورد هدف قرار دادند.
جزییات بیشتر این ضعف امنیتی به همراه راهکارهای پیشگیری موقت مایکروسافت که در 9 خرداد 1401 منتشر شده در نشانیهای زیر قابل مطالعه است:
https://newsroom.shabakeh.net/24338/new-microsoft-office-zero-day-exploit.html
بنابراین با توجه به این که اکنون اصلاحیه این ضعف امنیتی در بروزرسانی ماه ژوئن مایکروسافت منتشر شده، اکیداً به راهبران امنیتی سازمانها توصیه میشود که با توجه به بهرهجویی گسترده مهاجمان از ضعف امنیتی به شناسه CVE-2022-30190 در اسرع وقت بروزرسانی ژوئن 2022 را اعمال نمایند.
آسیبپذیریهای حیاتی
سه مورد از آسیبپذیریهای ترمیم شده این ماه دارای درجه اهمیت «حیاتی» با شناسههای CVE-2022-30163، CVE-2022-30136 و CVE-2022-30139 میباشند که در ادامه به بررسی جزئیات این ضعفهای امنیتی میپردازیم.
- ضعف امنیتی با شناسه CVE-2022-30163 از نوع «اجرای کد از راه دور» میباشد. مایکروسافت در بروزرسانی ماه گذشته، برای Windows Hyper-V تنها یک ضعف امنیتی با درجه اهمیت «مهم» منتشر کرد اما در بروزرسانی این ماه، برای آسیبپذیری شناسه CVE-2022-30163 که Windows Hyper-V از آن تاثیر میپذیرد، درجه اهمیت «حیاتی» در نظر گرفته است. سوءاستفاده از این ضعف که در نسخههای Windows و Windows Server (Windows 7 SP1, Windows Server 2008 R2 SP1) وجود دارد، به بیش از یک دهه قبل میرسد و به هیچ گونه تعاملی با کاربر یا اختیارات و سطح دسترسی بالایی نیاز ندارد. مهاجم برای سوءاستفاده از این ضعفامنیتی نیاز به اجرای یک برنامه دستکاری شده بر روی Hyper-V guest دارد. ولی خوشبختانه، بهرهجویی از آن نسبتاً سخت است و مهاجم باید در شرایط رقابتی (Race Condition) موفق به سوءاستفاده شود. این آسیبپذیری تاکنون به طور عمومی افشاء یا مورد بهرهجویی قرار نگرفته است.
- خطرناکترین ضعف امنیتی با درجه اهمیت «حیاتی» در این ماه، دارای شناسه CVE-2022-30136 و شدت 9.8 از 10 (بر طبق استاندارد CVSS) است، لذا ترمیم این آسیبپذیری باید در اولویت قرار بگیرد. این آسیبپذیری نیز از نوع «اجرای کد از راه دور» بوده و Windows Network File System – به اختصار NFS – از آن تاثیر میپذیرد. این ضعف امنیتی تنها در نسخه 1 قابل بهرهجویی است و نسخههای NFSV2.0 و NFSV3.0 از آن تاثیر نمیپذیرند.
مهاجم جهت بهرهجویی میتواند با یک فراخوانی غیرمجاز و دستکاری شده به سرویس NFS، کد مخرب را از راه دور اجرا کند. برای مهار و محدود کردن صدمات ناشی از این آسیبپذیری، میتوان با مراجعه به نشانی زیر و دریافت دستورالعملهای مربوطه، نسخه آسیبپذیر NFSV4.1 را غیرفعال نموده و سرور NFS را مجدداً راهاندازی کنند یا سیستم را مجدد راهاندازی کنند. البته این اقدام کاملاً موقتی است و بروزرسانیها باید در اسرع وقت انجام شوند.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30136
لازم به هشدار است که جهت اعمال این اقدامات مهارسازی حتماً باید بروزرسانی امنیتی ماه می 2022 شرکت مایکروسافت اعمال شده باشد. بروزرسانیهای مذکور، ضعف امنیتی به شناسه CVE-2022-26937 را که یک آسیبپذیری حیاتی در NFSV2.0 و NFSV3.0 بود، ترمیم کرده است. بروزرسانی امنیتی ماه می 2022 شرکت مایکروسافت در نشانیهای زیر قایل دریافت و مطالعه است.
https://msrc.microsoft.com/update-guide/vulnerability
https://newsroom.shabakeh.net/24105/microsoft-security-update-may-2022.html
- سومین ضعف امنیتی با درجه اهمیت «حیاتی» این ماه نیز از نوع «اجرای کد از راه دور» است و دارای شناسه CVE-2022-30139 میباشد. پودمان Windows Lightweight Directory Access Protocol – به اختصار LDAP از این آسیبپذیری تاثیر میپذیرد. گرچه سوءاستفاده از آن به تعامل کاربر و سطح دسترسی بالا نیازی ندارد ولی خوشبختانه تنظیمات پیشفرض MaxReceiveBuffer LDAP، بهرهجویی از آن را میتواند غیرممکن کند. در عین حال چنانچه MaxReceiveBuffer LDAP بر روی مقداری بالاتر از مقدار پیشفرض تنظیم شده باشد، Windows و Windows Server از این ضعف امنیتی تاثیر میپذیرند.
آسیبپذیریهای مورد توجه
در ادامه به بررسی جزئیات دیگر آسیبپذیریهای اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، میپردازیم.
در میان ضعفهای ترمیم شده این ماه، CVE-2022-30171 و CVE-2022-30172 هر دو از نوع «افشای اطلاعات» بوده و Microsoft Office و SharePoint از آن تاثیر میپذیرند. بهرهجویی از هر دوی این آسیبپذیریها به تعامل کاربر نیاز دارد.
دیگر ضعف امنیتی رفع شده در این ماه CVE-2022-30160 است که از نوع «ترفیع اختیارات» میباشد و بر Advanced Local Procedure Call – به اختصار ALPC (یک مکانیسم تبادل پیام در ارتباطات داخلی سیستمعامل) تاثیر میگذارد. این آسیبپذیری میتواند توسط یک مهاجم محلی و تایید شده مورد سوءاستفاده قرار گیرد و احتمال بهرهجویی از آن «زیاد» تخمین زده شده است.
دیگر آسیبپذیری از نوع «ترفیع اختیارات» شناسه CVE-2022-30147 است که بر Windows Installer تأثیر میگذارد و میتواند توسط یک مهاجم محلی و تایید شده مورد بهرهجویی قرار گیرد. مایکروسافت احتمال سوءاستفاده از آن را «زیاد» اعلام نموده است. اصلاحیه این ضعف امنیتی برای تمامی نسخ Windows از جمله Windows Server Core منتشر شده و در دسترس میباشد.
دیگر آسیبپذیریهای با درجه اهمیت «مهم» که ممکن است مورد توجه مهاجمان قرار گیرد CVE-2022-30153 و CVE-2022-30161 میباشند و Windows Lightweight Directory Access Protocol – به اختصار LDAP – از آنها تاثیر میپذیرد.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای ماه میلادی ژوئن 2022 مایکروسافت در جدول زیر قابل مطالعه است.
تاریخ انتشار | تاریخ آخرین بهروزرسانی | شناسه CVE | عنوان آسیبپذیری | افشای عمومی | احتمال سوءاستفاده |
Jun 14, 2022 | Jun 14, 2022 | Windows SMB Denial of Service Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | AV1 Video Extension Remote Code Execution Vulnerability | خیر | کم | |
May 30, 2022 | Jun 14, 2022 | Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability | بله | مورد سوءاستفاده قرار گرفته | |
Jun 14, 2022 | Jun 14, 2022 | Windows Autopilot Device Management and Enrollment Client Spoofing Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | .NET and Visual Studio Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Azure RTOS GUIX Studio Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Azure RTOS GUIX Studio Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Azure RTOS GUIX Studio Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Azure RTOS GUIX Studio Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Office Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Excel Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Office Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Office Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Photos App Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | AV1 Video Extension Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Local Security Authority Subsystem Service Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Kerberos Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Kerberos AppContainer Security Feature Bypass Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Hyper-V Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Kernel Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Advanced Local Procedure Call Elevation of Privilege Vulnerability | خیر | زیاد | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Office Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft SharePoint Server Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft SharePoint Server Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Kernel Denial of Service Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft File Server Shadow Copy Agent Service (RVSS) Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Network Address Translation (NAT) Denial of Service Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Defender Remote Credential Guard Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Desired State Configuration (DSC) Information Disclosure Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Installer Elevation of Privilege Vulnerability | خیر | زیاد | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Encrypting File System (EFS) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows File History Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows iSCSI Discovery Service Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Azure Service Fabric Container Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Network File System Remote Code Execution Vulnerability | خیر | زیاد | |
Jun 14, 2022 | Jun 14, 2022 | Windows Media Center Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Container Manager Service Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Windows Container Isolation FS Filter Driver Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Azure Open Management Infrastructure (OMI) Elevation of Privilege Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft SQL Server Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | خیر | کم | |
Apr 12, 2022 | Jun 14, 2022 | .NET Framework Denial of Service Vulnerability | خیر | کم | |
Apr 12, 2022 | Jun 14, 2022 | Microsoft Endpoint Configuration Manager Elevation of Privilege Vulnerability | خیر | کم | |
Apr 12, 2022 | Jun 14, 2022 | Visual Studio Elevation of Privilege Vulnerability | خیر | کم | |
May 10, 2022 | Jun 14, 2022 | .NET and Visual Studio Denial of Service Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | HEVC Video Extensions Remote Code Execution Vulnerability | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Intel: CVE-2022-21166 Device Register Partial Write (DRPW) | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Intel: CVE-2022-21127 Special Register Buffer Data Sampling Update (SRBDS Update) | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Intel: CVE-2022-21125 Shared Buffers Data Sampling (SBDS) | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Intel: CVE-2022-21123 Shared Buffers Data Read (SBDR) | خیر | کم | |
Jun 8, 2021 | Jun 14, 2022 | Windows DCOM Server Security Feature Bypass | خیر | کم | |
Jun 14, 2022 | Jun 14, 2022 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities | خیر | کم |
منابع:
https://msrc.microsoft.com/update-guide/vulnerability
https://news.sophos.com/en-us/2022/06/14/lighter-patch-tuesday-for-june-remains-rich-in-ldap-vulns/
https://blog.talosintelligence.com/2022/06/microsoft-patch-tuesday-for-june-2022.html
https://www.tenable.com/blog/microsofts-june-2022-patch-tuesday-addresses-55-cves-cve-2022-30190