بروزرسانی‌ها و اصلاحیه‌های دهمین ماه از سال 1401

در دی 1401 شرکت‌های زیر اقدام به عرضه بروزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند.

 

مایکروسافت	بیت‌دیفندر	ادوبی
سیسکو	مـوزیـلا	دروپال
ترلیکس	گوگل	جونیپر نت‌ورکز
فورتی‌نت

 

مایکـروسافت

20 دی 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژانویه 2023 منتشر کرد. اصلاحیه‌های مذکور حدود 100 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 11 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است. این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

• «ترفیع اختیارات» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
• «عبور از سد امکانات امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

دو مورد از آسیب‌پذیری‌های ترمیم شده این ماه (شناسه‌های CVE-2023-21674 و CVE-2023-21549)، از نوع «روز-صفر» می‌باشند که یک مورد آن (CVE-2023-21674) به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند. مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزییات ضعف‌های امنیتی روز صفر که در ماه میلادی ژانویه 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم.

• CVE-2023-21549: این ضعف امنیتی که به طور عمومی افشاء شده، دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است. این ضعف امنیتی بر Windows SMB Witness Service تاثیر می‌گذارد. مهاجم جهت بهره‌جویی از این آسیب‌پذیری باید یک اسکریپت مخرب خاص را اجرا نموده که منجر به یک فراخوانی RPC در سرور RPC می‌شود؛ سوءاستفاده موفق از آن مهاجم را قادر به افزایش امتیازات بر روی سرور می‌نماید.
• CVE-2023-21674: این آسیب‌پذیری روز صفر دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است و Windows Advanced Local Procedure Call  – به اختصار ALPC – از آن متاثر می‌‌شود. بهره‌جویی از این آسیب‌پذیری می‌تواند منجر به دور زدن Sandbox مرورگر شود؛ سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM می‌نماید.

11 مورد از آسیب‌پذیری‌های ترمیم شده این ماه دارای درجه اهمیت «حیاتی» می‌باشند که به نقل از مایکروسافت، احتمال سوءاستفاده از تمام آسیب‌پذیری‌های «حیاتی» این ماه کم می‌باشد به جز ضعف امنیتی CVE-2023-21743. در ادامه به بررسی جزییات این ضعف‌های امنیتی می‌پردازیم.

• CVE-2023-21743: این آسیب‌پذیری «حیاتی» از نوع «عبور از سد امکانات امنیتی» می‌باشد و Microsoft SharePoint Server را در شرایطی خاص تحت تاثیر قرار می‌دهد. این آسیب پذیری پیچیدگی کمی دارد و می تواند به راحتی توسط یک مهاجم فعال شود. در یک حمله مبتنی بر شبکه، یک کاربر احراز هویت نشده می تواند یک اتصال ناشناس به سرور SharePoint مورد نظر برقرار کند. عمل ارتقاء را می‌توان با اجرای SharePoint Products Configuration Wizard و فرمان Upgrade-SPFarm PowerShell cmdlet یا فرمان exe -cmd upgrade -inplace b2b پس از اجرای به‌روزرسانی آغاز نمود.
• CVE-2023-21551 ،CVE-2023-21561 و CVE-2023-21730: این سه ضعف امنیتی بر Microsoft Cryptographic Services تاثیر می‌گذارند. این آسیب‌پذیری‌ها می‌توانند توسط یک مهاجم اصالت‌سنجی شده محلی مورد سوءاستفاده قرار گیرند که داده‌های دستکاری شده ویژه‌ای را به سرویس محلی CSRSS ارسال می‌کند. این به مهاجمان اجازه می‌دهد تا امتیازات خود را از بستر AppContainer به دسترسی در سطح SYSTEM ارتقاء دهند.
• CVE-2023-21556 ،CVE-2023-21555 ،CVE-2023-21543 ،CVE-203-21546 و CVE-2023-21679: این پنج آسیب‌پذیری «حیاتی» از نوع «اجرای کد از راه دور» می‌باشند و بر Windows Layer 2 Tunneling Protocol – به اختصار L2TP – تاثیر می‌گذارند. بهره‌جویی موفق یک مهاجم احراز هویت نشده را قادر می‌سازد تا کد مخرب را روی سرورهای RAS اجرا کند.
• CVE-2023-21548 و CVE-2023-21535: این دو ضعف امنیتی «حیاتی» به دلیل پیچیدگی‌شان، به «احتمال کمتر» مورد بهره‌جویی قرار خواهند گرفت. هر دو این آسیب‌پذیری‌ها، از نوع «اجرای کد از راه دور» می‌باشند و Windows Secure Socket Tunneling Protocol – به اختصار SSTP – از آنها متاثر می‌شود. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به بهره‌جویی از آن می‌باشد؛ جهت بهره‌جویی مهاجم احراز هویت نشده می‌تواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیب‌پذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید.

در ادامه به بررسی جزییات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم.

• CVE-2023-21779: این ضعف امنیتی «مهم» که بهره‌جویی از آن به تعامل کاربر نیاز دارد، از نوع «اجرای کد از راه دور» است و Visual Studio Code از آن تاثیر می‌پذیرد. بهره‌جویی از این آسیب‌پذیری مستلزم آن است که مهاجم از راه دور و از طریق مهندسی اجتماعی، قربانی را متقاعد ‌کند که یک فایل مخرب vscode خاص را از یک سایت دانلود و باز کند که منجر به یک حمله محلی در سیستم آسیب‌پذیر می‌شود. از این رو توصیه می‌شود برنامه‌نویسان هرگز فایلی را که نمی‌دانند چیست یا از امن بودن آن اطمینان ندارند در Visual Studio Code باز نکنند.
• CVE-2023-21763 و CVE-2023-21764: این دو آسیب‌پذیری دارای درجه اهمیت «مهم» بوده و Microsoft Exchange Server را تحت تاثیر قرار می‌دهند و از نوع «ترفیع اختیارات» می‌باشند. این آسیب‌پذیری ناشی از عدم وصله صحیح یک باگ شناسایی شده قبلی به شماره شناسه CVE-2022-41123 می‌باشد. از طریق یک مسیر فایلی Hard-coded، یک مهاجم محلی ممکن است بتواند DLL خود را نصب نموده و کد مخرب را با امتیازات سطح SYSTEM اجرا کند. اکیداً توصیه می‌شود سازمان‌هایی که Exchange را استفاده می‌کنند، تمامی به‌روزرسانی‌های امنیتی Exchange را سریعاً جهت ترمیم این دو آسیب‌پذیری اجرا نمایند.
• CVE-2023-21674: این آسیب‌پذیری که Windows Advanced Local Procedure Call – به اختصار ALPC – از آن تاثیر می‌پذیرد، دارای درجه اهمیت «مهم» می‌باشد. بهره‌جویی از این ضعف امنیتی امکان «ترفیع اختیارات» را در سطح Kernel و SYSTEM برای مهاجم محلی فراهم می‌کند؛ از این رو مهاجم قادر خواهد بود تا Sandbox را در مرورگر دور بزند، این نوع از آسیب‌پذیری‌های اغلب در حملات بدافزاری یا باج‌افزاری مورد استفاده قرار می‌گیرند. این ضعف امنیتی توسط محققان آواست (Avast) به مایکروسافت گزارش شده و نشان‌دهنده خطر بالقوه چنین فعالیت‌های مخربی است.

از طرفی شرکت مایکروسافت احتمال بهره‌جویی از شش آسیب‌پذیری «مهم» زیر را «زیاد» اعلام نموده است؛ بهره‌جویی از تمامی این ضعف‌های امنیتی مهاجم را قادر به «افزایش اختیارات» می‌نماید.

• CVE-2023-21532: Windows GDI
• CVE-2023-21541: Windows Task Scheduler
• CVE-2023-21552: Windows GDI
• CVE-2023-21725: Windows Malicious Software Removal Tool
• CVE-2023-21726: Windows Credential Manager User Interface
• CVE-2023-21768: Windows Ancillary Function Driver for WinSock

همانطور که پیش‌تر در این خبر شرح داده شد، شرکت مایکروسافت در اطلاعیه‌ای اعلام نموده که از بعد از روز سه‌شنبه 20 دی 1401، سیستم‌‌ عامل Windows 7 دیگر به‌روزرسانی‌ها و اصلاحیه‌های امنیتی را برای وصله آسیب‌پذیری‌ها دریافت نخواهند کرد.

همچنین Windows 8.1 نیز که برای اولین بار نه سال پیش در آبان 1392 ارائه شده بود، از روز سه‌شنبه 20 دی 1401 دیگر توسط مایکروسافت پشتیبانی نخواهند شد.

بسیاری از سازندگان دیگر نیز پیش از این پشتیبانی از سیستم عامل Windows 7 را متوقف کرده بودند. از این رو ارتقاء یا تغییر سیستم‌های عامل از رده خارج به تمامی راهبران توصیه اکید می‌شود.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های ژانویه 2023 مایکروسافت که با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده در گزارش زیر قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2323

 سـیسـکو

شرکت سیسکو (Cisco Systems) در دی ماه در چندین نوبت اقدام به عرضه بروز‌رسانی‌های امنیتی برای برخی از محصولات خود کرد. این بروز‌رسانی‌ها، 23 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 2 مورد از آنها از نوع «حیاتی»، 8 مورد از آنها از نوع «بالا» (High) و 13 مورد از نوع «متوسط» (Medium) گزارش شده است. آسیب‌پذیری‌هایی همچون «از کاراندازی سرویس»، «اجرای کد از راه دور»، «نشت حافظه» (Memory Leak)، «افشای اطلاعات» و «تزریق کد از طریق سایت» (Cross site Scripting) از جمله مهمترین اشکالات مرتفع شده توسط بروزرسانی‌های جدید هستند. مهاجم می‌تواند از بعضی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب‌‌پذیر سوء‌استفاده کند. اطلاعات بیشتر در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

 تـرلـیـکـس

در ماهی که گذشت، ترلیکس (Trellix) از ترمیم دو آسیب‌پذیری به شناسه‌های CVE-2021-31833 و CVE-2023-0221 در نرم‌افزار Application and Change Control خبر داد. آسیب‌پذیری‌های مذکور در نسخه 8.3.4 و نسخه‌های بعد از آن برطرف شده‌اند. جزییات بیشتر در لینک زیر قابل دریافت و مطالعه است:

https://kcm.trellix.com/corporate/index?page=content&id=SB10370

فـورتـی‌نـت

در ماهی که گذشت شرکت فورتی‌نت (Fortinet) با انتشار چندین توصیه‌نامه‌‌ از ترمیم 5 ضعف امنیتی در محصولات این شرکت خبر داد. درجه اهمیت دو مورد از آنها از نوع «بالا» و سه مورد از نوع «متوسط» گزارش شده است. جزییات بیشتر در خصوص ضعف‌های امنیتی مذکور در لینک زیر قابل مطالعه است:

https://www.fortiguard.com/psirt

 بـیـت‌دیـفـنـدر

در دی ۱۴۰۱، شرکت بیت‌دیفندر (Bitdefender) نسخ جدید زیر را عرضه کرد:

GravityZone Control Center 6.30.2-2:

https://www.bitdefender.com/business/support/en/77212-78207-gravityzone-control-center.html

Endpoint Security Tools for Windows 7.8.1.244:

https://www.bitdefender.com/business/support/en/77212-77540-windows-agent.html

Endpoint Security for Mac 7.12.24.200022:

https://www.bitdefender.com/business/support/en/77212-78218-macos-agent.html

Security Server Multi-Platform 6.2.13.11842:

https://www.bitdefender.com/business/support/en/77212-78253-security-server-multi-platform.html

رفع باگ‌های امنیتی و اعمال برخی بهبودها، از جمله تغییرات اعمال شده در این نسخه‌ها گزارش شده است.

 مـوزیـلا

در دی ماه، بنیاد موزیلا (Mozilla) با ارائه بروزرسانی، چند آسیب‌پذیری امنیتی را در مرورگر Firefox برطرف کرد. این اصلاحیه‌ها، در مجموع 12 آسیب‌پذیری را در محصولات مذکور ترمیم می‌کنند. درجه حساسیت پنج مورد از آنها «بالا»، چهار مورد «متوسط» و سه مورد «کم» گزارش شده است. سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. توضیحات بیشتر در لینک زیر قابل مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

 گـوگـل

شرکت گوگل (Google) در دی ماه در یک نوبت اقدام به ترمیم آسیب‌پذیری‌های امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 20 دی ماه انتشار یافت، نسخه 109.0.5414.74 برای Linux، نسخه 109.0.5414.87 برای Mac و نسخه 75./109.0.5414.74 برای Windows است. فهرست اشکالات مرتفع شده در نشانی زیر قابل دریافت و مشاهده است: 

https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html

ادوبـی

شرکت ادوبی (Adobe) مجموعه اصلاحیه‌های امنیتی ژانویه 2023 را منتشر کرد. اصلاحیه‌های مذکور، در مجموع 29 آسیب‌پذیری را در 4 محصول زیر ترمیم می‌کنند:

• Adobe Acrobat and Reader
• Adobe InDesign
• Adobe InCopy
• Adobe Dimension

تعداد آسیب‌پذیری ترمیم شده این ماه ادوبی برای Adobe Acrobat and Reader برابر با 15 مورد بوده است. درجه اهمیت 8 مورد از ضعف‌های امنیتی مذکور «حیاتی» و 7 مورد «مهم» اعلام شده است. آسیب‌پذیری‌های «حیاتی» مذکور می‌توانند منجر به «اجرای کد» (Arbitrary code execution) شوند و مهاجم را قادر می‌سازند دستوراتی را در رایانه‌های آسیب‌پذیر اجرا کنند. در حالی که سوءاستفاده از ضعف‎های امنیتی «مهم» ترمیم شده در Adobe Acrobat and Reader می‌توانند منجر به «نشت حافظه»، «از کاراندازی سرویس» و «ترفیع اختیارات»  شوند.

با نصب به‌روزرسانی ماه ژانویه 2023، نسخه نگارش‌های جاری نرم‌افزارهای Acrobat DC و Acrobat Reader DCبه 22.003.20310، نگارش‌های ۲۰۲۰ به 20.005.30436 تغییر خواهد کرد.

اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه ژانویه 2023 ادوبی در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

 دروپـال

21 دی 1401، جامعه دروپال (Drupal Community) با عرضه بروزرسانی‌ امنیتی، یک ضعف‌ امنیتی با درجه اهمیت «نسبتاً حیاتی» (Moderately Critical) را در ماژول‌ Private Taxonomy Terms نسخه .Drupal 8.x ترمیم نمود. سوءاستفاده از این آسیب‌پذیری،‌ مهاجم را قادر به دور زدن مجوزها و ایجاد، تغییر یا حذف Private Taxonomy Terms خواهد نمود. با نصب این بروزرسانی‌، این ماژول‌ در دروپال 8.x. به نسخه 2.6-8i.x تغییر خواهد کرد.

توضیحات کامل در خصوص این بروزرسانی‌ و توصیه‌نامه‌ منتشر شده، در نشانی‌ زیر در دسترس می‌باشد:

https://www.drupal.org/security

جونیپر نت‌ورکز

جونیپر نت‌ورکز (Juniper Networks) هم در دی ماه با ارائه بروزرسانی چندین ضعف امنیتی را محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعف‌های مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES