اصلاحیه‌های امنیتی مایکروسافت برای آخرین ماه میلادی 2022

سه‌شنبه 22 آذر 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی دسامبر 2022 منتشر کرد. اصلاحیه‌های مذکور حدود 50 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت شش مورد از آسیب‌پذیری‌های ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

• «ترفیع اختیارات» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
• «عبور از سد امکانات امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

آسیب‌پذیری‌های‌ روز-صفر

سه مورد از آسیب‌پذیری‌های ترمیم شده در دسامبر 2022 (شناسه‌های CVE-2022-44698 ،CVE-2022-44710 و CVE-2022-41043)، از نوع «روز-صفر» می‌باشند که یک مورد آن (CVE-2022-44698) به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌ است.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز صفر که در ماه میلادی دسامبر 2022 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم.

• CVE-2022-44698: این آسیب‌پذیری روز صفر دارای درجه اهمیت «متوسط» (Moderate) بوده و از نوع «عبور از سد امکانات امنیتی» است و Windows SmartScreen از آن متاثر می‌‌شود. مهاجم جهت بهره‌جویی از این ضعف امنیتی اقدام به ایجاد یک فایل مخرب JavaScript با امضای جعلی می‌نماید. این فایل راهکار دفاعی Windows به نام Mark of the Web – به اختصار MotW – را دور می‌زند و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگی‌های امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، می‌شود. مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی جهت توزیع بدافزارهایی نظیر تروجان QBot و باج‌افزار Magniber سوءاستفاده کردند.

• CVE-2022-44710: این ضعف امنیتی که به طور عمومی افشاء شده، دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است. این ضعف امنیتی بر DirectX Graphics Kernel تاثیر می‌گذارد. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به بهره‌جویی از آن می‌باشد؛ سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM می‌نماید.
• CVE-2022-41043: آخرین آسیب‌پذیری ترمیم شده در دسامبر 2022 که کد بهره‌جوی آن به طور عمومی منتشر شده از نوع «افشا اطلاعات» می‌باشد و Microsoft Office از آن متاثر می‌شود. بهره‌جویی از این ضعف امنیتی نیازمند احراز هویت مهاجم است و او را قادر به دستیابی به Token مربوط به کاربر و سایر اطلاعات حساس می‎نماید.

آسیب‌پذیری‌های حیاتی

شش مورد از آسیب‌پذیری‌های ترمیم شده این ماه دارای درجه اهمیت «حیاتی» می‌باشند که در ادامه به بررسی جزئیات این ضعف‌های امنیتی می‌پردازیم.

• CVE-2022-44690 و CVE-2022-44693: هر دو ضعف‌های امنیتی مربوط به Server Microsoft SharePoint در ماه دسامبر 2022 دارای شدت 8.8 از 10 (بر طبق استاندارد CVSS) و درجه اهمیت «حیاتی» می‌باشند. در هر دو مورد، در جریان یک حمله مبتنی بر شبکه، یک مهاجم احراز هویت شده می‌تواند از طریق مجوزهای Manage List کد مخرب را از راه دور بر روی SharePoint Server اجرا کند.
• CVE-2022-41076: این آسیب‌پذیری «حیاتی» از نوع «اجرای کد از راه دور» می‌باشد و PowerShell را در شرایطی خاص تحت تاثیر قرار می‌دهد. بهره‌جویی از این ضعف امنیتی مستلزم آن است که یک مهاجم احراز هویت شده ابتدا هدف را جهت حمله آماده کند؛ هر مهاجم احراز هویت شده می‌تواند از این آسیب‌پذیری سوءاستفاده کند و سطح دسترسی ممتازی مورد نیاز نیست. مایکروسافت احتمال بهره‌جویی از آن را «زیاد» اعلام نموده است. بهره‌جویی موفق از آن، مهاجم را قادر می‌سازد تا پیکربندی PowerShell Remoting Session را دور زده و فرامین دلخواه را بر روی سیستم آسیب‌پذیر اجرا نماید.
• CVE-2022-41127: دیگر ضعف امنیتی «حیاتی» است که Microsoft Dynamics NAV و Microsoft Dynamics 365 Business Central (On Premises) از آن متاثر می‌شوند. بهره‌جویی موفق از این آسیب‌پذیری مستلزم احراز هویت شدن مهاجم می‌باشد.
• CVE-2022-44670 و CVE-2022-44676: آخرین ضعف‌های امنیتی «حیاتی» ترمیم شده در ماه دسامبر 2022 از نوع «اجرای کد از راه دور» می‌باشد و Windows Secure Socket Tunneling Protocol – به اختصار SSTP – از آنها متاثر می‌شود. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به اجرای کد از راه دور می‌باشد؛ یک مهاجم احراز هویت نشده می‌تواند با ارسال یک درخواست دستکاری شده ویژه جهت اتصال به سرور RAS، منجر به اجرای کد از راه دور در سرور RAS شود.

آسیب‌پذیری‌های مورد توجه

در ادامه به بررسی جزئیات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم.

• CVE-2022-44671 و CVE-2022-41121: مایکروسافت از میان ضعف‌های امنیتی ترمیم شده ماه دسامبر 2022 که بر Windows Graphics Component تاثیر می‌گذارند، احتمال بهره‌جویی از این دو آسیب‌پذیری را «زیاد» اعلام نموده است. هر دوی این ضعف‌های امنیتی از نوع «ترفیع اختیارات» بوده و دارای درجه اهمیت «مهم» می‌باشند.
• CVE-2022-41089: این آسیب‌پذیری دارای درجه اهمیت «مهم» و شدت 8.8 از 10 (بر طبق استاندارد CVSS) بوده و از نوع «اجرای کد راه دور» می‌باشد. NET Framework. از این ضعف امنیتی متاثر می‌شود و بهره‌جویی موفق از آن نیاز به تعامل کاربر دارد؛ از این رو مایکروسافت احتمال سوءاستفاده از آن را «کم» اعلام نموده است.
• CVE-2022-44678 و CVE-2022-44681: دو ضعف امنیتی مربوط به Windows Print Spooler از نوع «ترفیع اختیارات» می‌باشند. هر دو این آسیب‌پذیری‌ها دارای درجه اهمیت «مهم» بوده و بهره‌جویی موفق از آنها مهاجم را قادر به دستیابی به امتیازات SYSTEM می‌نماید.
• CVE-2022-44666: این ضعف امنیتی بر Windows Contact تاثیر می‌گذارد و دارای درجه اهمیت «مهم» می‌باشد. مهاجم جهت بهره‌جویی از این آسیب‌پذیری، باید کاربر را متقاعد کند که یک فایل دستکاری شده مخرب را از یک سایت دانلود و باز کند تا بتواند به صورت محلی و از راه دور به کامپیوتر کاربر حمله کند. هم Client و هم سرور به طور بالقوه در برابر این ضعف امنیتی آسیب‌پذیر می‌باشند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه ‌اصلاحیه‌های ماه میلادی دسامبر 2022 مایکروسافت در جدول زیر قابل مطالعه است.