اصلاحیه‌های امنیتی مایکروسافت برای دومین ماه میلادی 2023

سه‌شنبه، 25 بهمن 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی فوریه 2023 منتشر کرد. اصلاحیه‌های مذکور 76 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 9 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

• «ترفیع اختیارات» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
• «عبور از سد امکانات امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

آسیب‌پذیری‌های‌ روز-صفر

به گزارش شرکت مهندسی شبکه گستر، سه مورد از آسیب‌پذیری‌های ترمیم شده در فوریه 2023 (با شناسه‌های CVE-2023-21715 ،CVE-2023-21823 و CVE-2023-23376)، از نوع «روز-صفر» می‌باشند؛ اگرچه هیچ کدام به طور عمومی افشاء نشده‌اند ولی هر سه مورد آن به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز صفر که در ماه میلادی فوریه 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم.

• CVE-2023-21715: این آسیب‌پذیری دارای درجه اهمیت «مهم» بوده و از نوع «عبور از سد امکانات امنیتی» است. این ضعف امنیتی بر Microsoft Publisher تاثیر می‌گذارد. بکارگیری روش‌های مهندسی اجتماعی توسط مهاجم احراز هویت شده و متقاعد نمودن قربانی به باز نمودن یک سند دستکاری شده یا یک فایل از یک سایت از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری محسوب می‌شود. بهره‌جویی موفق از این نقص امنیتی منجر به دورزدن سیاست‌های حفاظتی ماکرو در Office که برای مسدودسازی فایل‌های مخرب و غیرقابل اعتماد استفاده می‌شود، خواهد شد.
• CVE-2023-23376: این آسیب‌پذیری روز صفر دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است و Windows Common Log File System Driver از آن متاثر می‌شود. سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM می‌نماید.
• CVE-2023-21823: این ضعف امنیتی روز صفر ترمیم شده که دارای درجه اهمیت «مهم» است، از نوع «اجرای کد از راه دور» می‌باشد و Windows Graphics Component از آن تاثیر می‌پذیرد. مهاجمی که موفق به بهره‌جویی از این آسیب‌پذیری می‌شود، می‌تواند امتیازاتی را در سطح SYSTEM جهت اجرای فرامین به دست آورد. Microsoft Store به طور خودکار این ضعف امنیتی را در سیستم‌های آسیب‌پذیر به‌روزرسانی می‌کند. در صورتی که کاربران به‌روزرسانی‌های خودکار Microsoft Store را غیرفعال کنند، این به‌روزرسانی به‌طور خودکار برای آنها نصب و اعمال نخواهد شد.

آسیب‌پذیری‌های حیاتی

9 مورد از آسیب‌پذیری‌های ترمیم شده در فوریه 2023 دارای درجه اهمیت «حیاتی» می‌باشند که در ادامه به جزئیات برخی از آنها می‌پردازیم:

• CVE-2023-21689 ،CVE-2023-21690 و CVE-2023-21692: این سه ضعف امنیتی بر Microsoft Protected Extensible Authentication Protocol – به اختصار PEAP – تاثیر می‌گذارند و از نوع «اجرای کد از راه دور» می‌باشند. مهاجم برای بهره‌جویی از آسیب‌پذیری CVE-2023-21689 به دسترسی سطح بالا و تعامل کاربر نیازی ندارد و می‌تواند از طریق فراخوانی شبکه، کد دلخواه و مخرب را از راه دور در حساب‌های سرور اجرا کند؛ ایجاد فایل‌های مخرب PEAP و ارسال آنها به سرور موردنظر از سناریوهای بهره‌جویی مهاجم از ضعف‌های امنیتی با شناسه‌های CVE-2023-21690 و CVE-2023-21692 محسوب می‌شود. سوءاستفاده از هر سه این ضعف‌های امنیتی دارای پیچیدگی کمی است و هیچ گونه دسترسی بالا یا تعامل با کاربر مورد نیاز نمی‌باشد.
• CVE-2023-21808 ،CVE-2023-21815 و CVE-2023-23381: مهاجم با بهره‌جویی از هر سه این آسیب‌پذیری‌ها، قادر است از راه دور کد مخرب را به صورت محلی در سیستم قربانی اجرا ‌نماید. این ضعف‌های امنیتی بر NET. و Visual Studio تاثیر می‌گذارند.
• CVE-2023-21803: این آسیب‌پذیری «حیاتی» ترمیم شده در فوریه 2023، از نوع «اجرای کد از راه دور» بوده و Windows iSCSI Discovery Service از آن تاثیر می‌پذیرد. مهاجم می‌تواند با ارسال یک درخواست DHCP مخرب دستکاری‌شده به سرویس iSCSI Discovery در ماشین‌های 32 بیتی، از این ضعف امنیتی سوءاستفاده کند. بهره‌جویی موفق، مهاجم را قادر به اجرای کد مخرب بر روی سیستم مورد نظر می‌نماید.
• CVE-2023-21716: این ضعف امنیتی «حیاتی» از نوع «اجرای کد از راه دور» می‌باشد و چندین نسخه از Microsoft Word ،Office ،SharePoint و  Microsoft 365 App از آن تاثیر می‌پذیرند. جهت بهره‌جویی از این آسیب‌پذیری، مهاجم احراز هویت نشده می‌تواند یک ایمیل مخرب حاوی کد مخرب RTF را برای قربانی ارسال کند که باز نمودن آن موجب اجرای فرامین مخرب در برنامه مورد استفاده می‌شود. توصیه می‌شود ضمن اعمال به‌روزرسانی، با مراجعه به نشانی‌های زیر توصیه‌نامه مایکروسافت در خصوص چگونگی پیشگیری از باز شدن اسناد RTF از منابع ناشناخته یا نامعتبر توسط Office را مطالعه نمائید:

https://msrc.microsoft.com/blog/2008/05/ms08-026-how-to-prevent-word-from-loading-rtf-files/

https://learn.microsoft.com/en-US/office/troubleshoot/settings/file-blocked-in-office

• CVE-2023-21718: آخرین ضعف امنیتی «حیاتی» ترمیم شده در فوریه 2023 نیز از نوع «اجرای کد از راه دور» می‌باشد و Microsoft SQL ODBC Driver از آن تاثیر می‌پذیرد. یک مهاجم احراز هویت نشده می‌تواند از طریق ODBC به پایگاه داده مخرب SQL Server متصل شده و از این آسیب‌پذیری سوء‌استفاده کند. این می‌تواند منجر به بازگشت داده‌های مخرب از پایگاه داده و در نهایت اجرای کد دلخواه بر روی Client شود.

آسیب‌پذیری‌های مورد توجه

در ادامه به بررسی جزئیات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم.

• CVE-2023-21809: این ضعف امنیتی «مهم» ترمیم شده، از نوع «عبور از سد امکانات امنیتی» است؛ چنانچه با موفقیت مورد بهره‌جویی قرار گیرد، مهاجم قادر خواهد بود ویژگی مسدودسازی Attack Surface Reduction – به اختصار ASR – را در Windows Defender دور بزند. با این حال، برای سوء استفاده از آن، مهاجم باید کاربر را فریب دهد تا فایل‌های مخرب را اجرا کند.
• CVE-2023-21529 ،CVE-2023-21706 ،CVE-2023-21707 و CVE-2023-21710: این چهار آسیب‌پذیری دارای درجه اهمیت «مهم» می‌باشند و نسخ مختلف Microsoft Exchange Server از آنها متاثر می‌شوند. مهاجم احراز هویت شده می‌تواند از طریق فراخوانی شبکه، موفق به بهره‌جویی از این آسیب‌پذیری‌ها شده و یک کد دلخواه مخرب را از راه دور در حساب‌های سرور اجرا نماید.
• CVE-2023-21695: از دیگر ضعف‌های امنیتی ترمیم شده در فوریه 2023 که بر PEAP تاثیر می‌گذارد، CVE-2023-21695 است که از نوع «اجرای کد از راه دور» می‌باشد و بر خلاف آسیب‌پذیری‌های CVE-2023-21689 ،CVE-2023-21690 و CVE-2023-21692 دارای درجه اهمیت «مهم» است. یک مهاجم احراز هویت شده می‌تواند با ارسال بسته‌های مخرب PEAP بر روی شبکه، به سرور PEAP حمله کند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه ‌اصلاحیه‌های ماه میلادی فوریه 2023 مایکروسافت در جدول زیر قابل مطالعه است.

منابع

• https://msrc.microsoft.com/update-guide/vulnerability
• https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2023-patch-tuesday-fixes-3-exploited-zero-days-77-flaws/
• https://news.sophos.com/en-us/2023/02/14/a-diverse-set-of-fixes-in-februarys-patch-tuesday-release/
• https://www.tenable.com/blog/microsofts-february-2023-patch-tuesday-addresses-75-cves-cve-2023-23376
• https://blog.qualys.com/vulnerabilities-threat-research/patch-tuesday/2023/02/14/the-february-2023-patch-tuesday-security-update-review