اصلاحیههای امنیتی مایکروسافت برای سومین ماه میلادی 2023
سهشنبه 23 اسفند 1401، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی مارس 2023 منتشر کرد. اصلاحیههای مذکور 80 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 9 مورد از آسیبپذیریهای ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- «افزایش سطح دسترسی» (Elevation of Privilege)
- «اجرای کد از راه دور» (Remote Code Execution)
- «افشای اطلاعات» (Information Disclosure)
- «منع سرویس» (Denial of Service – به اختصار DoS)
- «دور زدن مکانیزمهای امنیتی» (Security Feature Bypass)
- «جعل» (Spoofing)
آسیبپذیریهای روز-صفر
دو مورد از آسیبپذیریهای ترمیم شده این ماه (با شناسههای CVE-2023-23397 و CVE-2023-24880)، از نوع «روز-صفر» میباشند که اگرچه تنها یک مورد (CVE-2023-24880) به طور عمومی افشاء شده ولی هر دو مورد آن به طور گسترده در حملات مورد سوءاستفاده قرار گرفتهاند.
لازم به ذکر است که PoC یکی از ضعفهای امنیتی (CVE-2022-43552) که پیشتر وصله آن ارائه شده بود نیز منتشر شده است؛ این آسیبپذیری که Open Source Curl موجود در چندین محصول مایکروسافت نظیر Windows Server ،Windows Desktop و CBL-Mariner 2.0 – یکی از نسخ سیستمعامل Linux که مایکروسافت برای بسترهای ابری آن را توسعه داده – از آن تاثیر میپذیرد، در ماه مارس 2023 مجدد بهروزرسانی شده است. Open Source Curl یکی از ابزارهای خط فرمان (Command Line) است که برای ارسال داده با پروتکلهای مختلف شبکه مورد استفاده قرار میگیرد.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعفهای امنیتی روز-صفر که در ماه میلادی مارس 2023 توسط شرکت مایکروسافت ترمیم شدهاند، میپردازیم:
- CVE-2023-23397: این آسیبپذیری روز-صفر دارای درجه اهمیت «بحرانی» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Microsoft Outlook تاثیر میگذارد. مهاجم میتواند با ارسال یک ایمیل دستکاری شده از این آسیبپذیری سوءاستفاده نموده و منجر به اتصال قربانی به یک UNC خارجی تحت کنترل مهاجم شود. در این صورت مهاجم قادر به دستیابی به هش Net-NTLMv2 حساب Windows قربانی بوده و میتواند این را به سرویس دیگری منتقل کند و از این طریق احراز هویت شود. مایکروسافت هشدار داده که این ضعف امنیتی بهطور خودکار هنگام بازیابی و پردازش توسط سرور ایمیل (Email Server)، قبل از خواندن ایمیل در صفحه پیشنمایش (Preview Pane) فعال میشود.
- CVE-2023-24880: این آسیبپذیری ترمیم شده، دارای درجه اهمیت «میانه» (Moderate) بوده و Windows SmartScreen از آن متاثر میشود. مهاجم میتواند با ایجاد فایلی مخرب، راهکار دفاعی Windows به نام Mark of the Web – به اختصار MotW – را دور زده و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگیهای امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، شود. در صورت سوءاستفاده موفق از این ضعف امنیتی، مهاجم قادر خواهد بود فایل مخرب را بدون ایجاد هشدار امنیتی MotW اجرا نماید. مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی جهت توزیع و اجرای بدافزارها سوءاستفاده میکنند.
آسیبپذیریهای بحرانی
علاوه بر ضعف امنیتی روز-صفر CVE-2023-23397 که دارای درجه اهمیت «بحرانی» میباشد، 8 مورد از دیگر آسیبپذیریهای ترمیم شده ماه مارس 2023 دارای درجه اهمیت «بحرانی» میباشند که در ادامه به جزئیات برخی از آنها میپردازیم:
- CVE-2023-23411: این ضعف امنیتی «بحرانی» ترمیم شده، از نوع «منع سرویس» میباشد و Windows Hyper-V را تحت تاثیر قرار میدهد. سوءاستفاده از این آسیبپذیری به تعامل کاربر نیازی ندارد و پس از سوءاستفاده موفق، مهاجم سرور Hyper-V را در اختیار دارد.
- CVE-2023-23392: این آسیبپذیری بر HTTP Protocol Stack تاثیر میگذارد و از نوع «اجرای کد از راه دور» میباشد. مایکروسافت احتمال داده که این ضعف امنیتی «بحرانی» تا 30 روز پس از انتشار وصله، مورد سوءاستفاده قرار بگیرد. ضعف امنیتی مذکور از راه دور قابل سوءاستفاده بوده و نیازی به تعامل کاربر یا در اختیار داشتن امتیازات سیستم ندارد. مهاجم با ارسال یک بسته مخرب دستکاری شده به سرور هدف که از http.sysا (HTTP Protocol Stack) برای پردازش بستهها استفاده میکند، از این ضعف سوءاستفاده مینماید. جالب اینجاست که این ضعف امنیتی فقط آخرین نسخههای سیستمعامل Windows (Windows 11 و Windows Server 2022) را تحت تاثیر قرار میدهد.
- CVE-2023-23416: این آسیبپذیری بر Windows Cryptographic Services – مجموعهای از ابزارهای رمزنگاری در Windows – تاثیر میگذارد و از نوع «اجرای کد از راه دور» میباشد. بکارگیری یک گواهینامه مخرب توسط مهاجم احراز هویت شده و یا متقاعد نمودن قربانی به باز نمودن یک گواهینامه دستکاری شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیبپذیری محسوب میشود. مایکروسافت احتمال سوءاستفاده موفق از این نقص امنیتی را بالا ارزیابی کرده است.
CVE-2023-23415: این آسیبپذیری از نوع «اجرای کد از راه دور» بوده و بر Internet Control Message Protocol – به اختصار ICMP – تاثیر میگذارد. این آسیبپذیری مربوط به نحوه مدیریت بستههای ICMP توسط سیستمعامل است؛ زمانی که یک برنامه در حال اجرا بر روی سرور آسیبپذیر Windows به یک سوکت خام متصل میشود. مهاجم با ارسال یک بسته IP مخرب و تکه تکه شده به یک هدف آسیبپذیر قادر به اجرای کد دلخواه میباشد. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را بالا اعلام نموده است. سوءاستفاده از این آسیبپذیری که به یک پروتکل گزارش خطا مربوط میشود، نیازی به دسترسی به امتیازات سیستم یا تعامل کاربر ندارد.
CVE-2023-21708: این ضعف امنیتی از نوع «اجرای کد از راه دور» بوده و Remote Procedure Call Runtime از آن تاثیر میپذیرد. یک مهاجم احراز هویت نشده با فراخوانی RPC دستکاری شده در سرور RPC قادر به سوءاستفاده از این آسیبپذیری میباشد. این میتواند منجر به اجرای کد از راه دور در سمت سرور با همان مجوزهای سرویس RPC شود. مسدودسازی پورت TCP 135 در فایروال سازمان بهترین راهکار توصیه شده است که می تواند احتمال برخی از حملات احتمالی علیه این آسیبپذیری را کاهش دهد.
CVE-2023-1017 و CVE-2023-1018: این دو آسیبپذیری «بحرانی» ترمیم شده، Trusted Platform Module (TPM) Module Library را تحت تاثیر قرار میدهند. این CVE مربوط به یک آسیبپذیری در یک درایور ثالث است. مهاجم با اجرای فرامین مخرب TPM از یک VM Guest بر روی سرور مورد نظری که Hyper-V را اجرا میکند، قادر به نوشتن خارج از محدوده در پارتیشن ریشه (Root) میشود. مهاجم با سوءاستفاده از این ضعف امنیتی قادر است تا 2 بایت داده را در انتهای فرمان TPM2.0 در روتین CryptParameterDecryption بنویسید. سوءاستفاده موفق از این آسیبپذیری میتواند منجر به منع سرویس (از کار انداختن تراشه/پروسه TPM یا غیرقابل استفاده شدن آن) و/یا اجرای کد دلخواه در TPM شود.
CVE-2023-23404: آخرین آسیبپذیری «بحرانی» ترمیم شده در ماه مارس 2023، بر Windows Point-to-Point Tunneling Protocol تاثیر میگذارد و از نوع «اجرای کد از راه دور» است. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن میباشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده میتواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیبپذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید.
آسیبپذیریهای مورد توجه
در ادامه به بررسی جزئیات دیگر آسیبپذیریهای اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، میپردازیم.
CVE-2023-22490 ،CVE-2023-22743 ،CVE-2023-23618 و CVE-2023-23946: مایکروسافت در ماه مارس 2023، این چهار ضعفامنیتی را که از GitHub سرچشمه میگیرد، ترمیم کرده است. این آسیبپذیریها دارای درجه اهمیت «زیاد» بوده و مربوط به سیستم کنترلی نسخه Git که در Visual Studio گنجانده شده، میباشند.
CVE-2022-23825 ،CVE-2022-23816 ،CVE-2022-23257: مایکروسافت علاوه بر CVE-2022-43552، بهروزرسانیهایی را برای سه ضعف امنیتی قدیمیتر – که همگی مربوط به سال 2022 میباشند – را در مارس 2023 ارائه کرده است.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای ماه میلادی مارس 2023 مایکروسافت در جدول زیر قابل مطالعه است.
تاریخ انتشار | تاریخ آخرین بهروزرسانی | شناسه CVE | عنوان آسیبپذیری | افشای عمومی | احتمال سوءاستفاده |
Mar 14, 2023 | Mar 14, 2023 | Microsoft OneDrive for MacOS Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft OneDrive for Android Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Dynamics 365 Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Graphics Component Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Remote Procedure Call Runtime Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Edge (Chromium-based) Webview2 Spoofing Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft OneDrive for iOS Security Feature Bypass Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft OneDrive for Android Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows SmartScreen Security Feature Bypass Vulnerability | بله | مورد سوءاستفاده قرار گرفته | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Bluetooth Service Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Remote Procedure Call Runtime Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Secure Channel Denial of Service Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Graphics Component Elevation of Privilege Vulnerability | خیر | زیاد | |
Mar 14, 2023 | Mar 14, 2023 | Windows Internet Key Exchange (IKE) Extension Denial of Service Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | GitHub: CVE-2023-23946 mingit Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | GitHub: CVE-2023-23618 Git for Windows Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Resilient File System (ReFS) Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Resilient File System (ReFS) Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Partition Management Driver Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Cryptographic Services Remote Code Execution Vulnerability | خیر | زیاد | |
Mar 14, 2023 | Mar 14, 2023 | Internet Control Message Protocol (ICMP) Remote Code Execution Vulnerability | خیر | زیاد | |
Mar 14, 2023 | Mar 14, 2023 | Windows Point-to-Point Protocol over Ethernet (PPPoE) Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Accounts Picture Elevation of Privilege Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Hyper-V Denial of Service Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows HTTP.sys Elevation of Privilege Vulnerability | خیر | زیاد | |
Mar 14, 2023 | Mar 14, 2023 | Client Server Run-Time Subsystem (CSRSS) Information Disclosure Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Azure Apache Ambari Spoofing Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Point-to-Point Protocol over Ethernet (PPPoE) Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Remote Procedure Call Runtime Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Point-to-Point Tunneling Protocol Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Media Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows Media Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Windows DNS Server Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Excel Remote Code Execution Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Excel Spoofing Vulnerability | خیر | زیاد | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Outlook Elevation of Privilege Vulnerability | خیر | مورد سوءاستفاده قرار گرفته | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft Excel Denial of Service Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Microsoft SharePoint Server Spoofing Vulnerability | خیر | کم | |
Mar 14, 2023 | Mar 14, 2023 | Client Server Run-Time Subsystem (CSRSS) Information Disclosure Vulnerability | خیر | کم |
منابع
- https://msrc.microsoft.com/update-guide/vulnerability
- https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2023-patch-tuesday-fixes-3-exploited-zero-days-77-flaws/
- https://news.sophos.com/en-us/2023/02/14/a-diverse-set-of-fixes-in-februarys-patch-tuesday-release/
- https://www.tenable.com/blog/microsofts-february-2023-patch-tuesday-addresses-75-cves-cve-2023-23376
- https://www.crowdstrike.com/blog/patch-tuesday-analysis-march-2023/
- https://blog.talosintelligence.com/microsoft-patch-tuesday-for-march-2023-snort-rules-and-prominent-vulnerabilities/
- https://www.techtarget.com/searchwindowsserver/news/365532560/Microsoft-stops-two-zero-days-for-March-Patch-Tuesday