اصلاحیه‌های امنیتی مایکروسافت برای سومین ماه میلادی 2023

سه‌شنبه 23 اسفند 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس 2023 منتشر کرد. اصلاحیه‌های مذکور 80 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 9 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

• «افزایش سطح دسترسی» (Elevation of Privilege)
• «اجرای کد از راه دور» (Remote Code Execution)
• «افشای اطلاعات» (Information Disclosure)
• «منع سرویس» (Denial of Service – به اختصار DoS)
• «دور زدن مکانیزم‌های امنیتی» (Security Feature Bypass)
• «جعل» (Spoofing)

آسیب‌پذیری‌های‌ روز-صفر

دو مورد از آسیب‌پذیری‌های ترمیم شده این ماه (با شناسه‌های CVE-2023-23397 و CVE-2023-24880)، از نوع «روز-صفر» می‌باشند که اگرچه تنها یک مورد (CVE-2023-24880) به طور عمومی افشاء شده‌ ولی هر دو مورد آن به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند.

لازم به ذکر است که PoC یکی از ضعف‌های امنیتی (CVE-2022-43552) که پیشتر وصله آن ارائه شده بود نیز منتشر شده است؛ این آسیب‌پذیری که Open Source Curl موجود در چندین محصول مایکروسافت نظیر Windows Server ،Windows Desktop و CBL-Mariner 2.0 – یکی از نسخ سیستم‌عامل Linux که مایکروسافت برای بسترهای ابری آن را توسعه داده – از آن تاثیر می‌پذیرد، در ماه مارس 2023 مجدد به‌روزرسانی شده است. Open Source Curl یکی از ابزارهای خط فرمان (Command Line) است که برای ارسال داده با پروتکل‌های مختلف شبکه مورد استفاده قرار می‌گیرد.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز-صفر که در ماه میلادی مارس 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم:

• CVE-2023-23397: این آسیب‌پذیری روز-صفر دارای درجه اهمیت «بحرانی» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Microsoft Outlook تاثیر می‌گذارد. مهاجم می‌تواند با ارسال یک ایمیل دستکاری شده از این آسیب‌پذیری سوءاستفاده نموده و منجر به اتصال قربانی به یک UNC خارجی تحت کنترل مهاجم شود. در این صورت مهاجم قادر به دستیابی به هش Net-NTLMv2 حساب Windows قربانی بوده و می‌تواند این را به سرویس دیگری منتقل کند و از این طریق احراز هویت شود. مایکروسافت هشدار داده که این ضعف امنیتی به‌طور خودکار هنگام بازیابی و پردازش توسط سرور ایمیل (Email Server)، قبل از خواندن ایمیل در صفحه پیش‌نمایش (Preview Pane) فعال می‌شود.
• CVE-2023-24880: این آسیب‌پذیری ترمیم شده، دارای درجه اهمیت «میانه» (Moderate) بوده و Windows SmartScreen از آن متاثر می‌شود. مهاجم می‌تواند با ایجاد فایلی مخرب، راهکار دفاعی Windows به نام  Mark of the Web – به اختصار MotW – را دور زده و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگی‌های امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، ‌شود. در صورت سوءاستفاده موفق از این ضعف امنیتی، مهاجم قادر خواهد بود فایل مخرب را بدون ایجاد هشدار امنیتی MotW اجرا نماید. مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی جهت توزیع و اجرای بدافزارها سوءاستفاده می‌کنند.

آسیب‌پذیری‌های بحرانی

علاوه بر ضعف امنیتی روز-صفر CVE-2023-23397 که دارای درجه اهمیت «بحرانی» می‌باشد، 8 مورد از دیگر آسیب‌پذیری‌های ترمیم شده ماه مارس 2023 دارای درجه اهمیت «بحرانی» می‌باشند که در ادامه به جزئیات برخی از آنها می‌پردازیم:

• CVE-2023-23411: این ضعف امنیتی «بحرانی» ترمیم شده، از نوع «منع سرویس» می‌باشد و Windows Hyper-V را تحت تاثیر قرار می‌دهد. سوءاستفاده از این آسیب‌پذیری به تعامل کاربر نیازی ندارد و پس از سوءاستفاده موفق، مهاجم سرور Hyper-V را در اختیار دارد.
• CVE-2023-23392: این آسیب‌پذیری بر HTTP Protocol Stack تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» می‌باشد. مایکروسافت احتمال داده که این ضعف امنیتی «بحرانی» تا 30 روز پس از انتشار وصله، مورد سوءاستفاده قرار بگیرد. ضعف امنیتی مذکور از راه دور قابل سوءاستفاده بوده و نیازی به تعامل کاربر یا در اختیار داشتن امتیازات سیستم ندارد. مهاجم با ارسال یک بسته مخرب دستکاری شده به سرور هدف که از http.sysا (HTTP Protocol Stack) برای پردازش بسته‌ها استفاده می‌کند، از این ضعف سوءاستفاده می‌نماید. جالب اینجاست که این ضعف امنیتی فقط آخرین نسخه‌های سیستم‌عامل Windows (Windows 11 و Windows Server 2022) را تحت تاثیر قرار می‌دهد.
• CVE-2023-23416: این آسیب‌پذیری بر Windows Cryptographic Services  – مجموعه‌ای از ابزارهای رمزنگاری در Windows – تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» می‌باشد. بکارگیری یک گواهینامه مخرب توسط مهاجم احراز هویت شده و یا متقاعد نمودن قربانی به باز نمودن یک گواهینامه دستکاری شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری محسوب می‌شود. مایکروسافت احتمال سوءاستفاده موفق از این نقص امنیتی را بالا ارزیابی کرده است.

• CVE-2023-23415: این آسیب‌پذیری از نوع «اجرای کد از راه دور» بوده و بر Internet Control Message Protocol – به اختصار ICMP – تاثیر می‌گذارد. این آسیب‌پذیری مربوط به نحوه مدیریت بسته‌های ICMP توسط سیستم‌عامل است؛ زمانی که یک برنامه در حال اجرا بر روی سرور آسیب‌پذیر Windows به یک سوکت خام متصل می‌شود. مهاجم با ارسال یک بسته IP مخرب و تکه تکه شده به یک هدف آسیب‌پذیر قادر به اجرای کد دلخواه می‌باشد. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را بالا اعلام نموده است. سوءاستفاده از این آسیب‌پذیری که به یک پروتکل گزارش خطا مربوط می‌شود، نیازی به دسترسی به امتیازات سیستم یا تعامل کاربر ندارد.

• CVE-2023-21708: این ضعف امنیتی از نوع «اجرای کد از راه دور» بوده و Remote Procedure Call Runtime از آن تاثیر می‌پذیرد. یک مهاجم احراز هویت نشده با فراخوانی RPC دستکاری شده در سرور RPC قادر به سوءاستفاده از این آسیب‌پذیری می‌باشد. این می‌تواند منجر به اجرای کد از راه دور در سمت سرور با همان مجوزهای سرویس RPC شود. مسدودسازی پورت TCP 135 در فایروال سازمان بهترین راهکار توصیه شده است که می تواند احتمال برخی از حملات احتمالی علیه این آسیب‌پذیری را کاهش دهد.

• CVE-2023-1017 و CVE-2023-1018: این دو آسیب‌پذیری «بحرانی» ترمیم شده، Trusted Platform Module (TPM) Module Library را تحت تاثیر قرار می‌دهند. این CVE مربوط به یک آسیب‌پذیری در یک درایور ثالث است. مهاجم با اجرای فرامین مخرب TPM از یک VM Guest بر روی سرور مورد نظری که Hyper-V را اجرا می‌کند، قادر به نوشتن خارج از محدوده در پارتیشن ریشه (Root) می‌شود. مهاجم با سوءاستفاده از این ضعف امنیتی قادر است تا 2 بایت داده را در انتهای فرمان TPM2.0 در روتین CryptParameterDecryption بنویسید. سوءاستفاده موفق از این آسیب‌پذیری می‌تواند منجر به منع سرویس (از کار انداختن تراشه/پروسه TPM یا غیرقابل استفاده شدن آن) و/یا اجرای کد دلخواه در TPM شود.

• CVE-2023-23404: آخرین آسیب‌پذیری «بحرانی» ترمیم شده در ماه مارس 2023، بر Windows Point-to-Point Tunneling Protocol تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» است. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن می‌باشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده می‌تواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیب‌پذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید.

 آسیب‌پذیری‌های مورد توجه

در ادامه به بررسی جزئیات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم.

• CVE-2023-22490 ،CVE-2023-22743 ،CVE-2023-23618 و CVE-2023-23946: مایکروسافت در ماه مارس 2023، این چهار ضعف‌امنیتی  را که از GitHub سرچشمه می‌گیرد، ترمیم کرده است. این آسیب‌پذیری‌ها دارای درجه اهمیت «زیاد» بوده و مربوط به سیستم کنترلی نسخه  Git که در Visual Studio گنجانده شده، می‌باشند.

• CVE-2022-23825 ،CVE-2022-23816 ،CVE-2022-23257: مایکروسافت علاوه بر CVE-2022-43552، به‌روزرسانی‌هایی را برای سه ضعف امنیتی قدیمی‌تر – که همگی مربوط به سال 2022  می‌باشند – را در مارس 2023 ارائه کرده است.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه ‌اصلاحیه‌های ماه میلادی مارس 2023 مایکروسافت در جدول زیر قابل مطالعه است.

منابع

• https://msrc.microsoft.com/update-guide/vulnerability
• https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2023-patch-tuesday-fixes-3-exploited-zero-days-77-flaws/
• https://news.sophos.com/en-us/2023/02/14/a-diverse-set-of-fixes-in-februarys-patch-tuesday-release/
• https://www.tenable.com/blog/microsofts-february-2023-patch-tuesday-addresses-75-cves-cve-2023-23376
• https://www.crowdstrike.com/blog/patch-tuesday-analysis-march-2023/
• https://blog.talosintelligence.com/microsoft-patch-tuesday-for-march-2023-snort-rules-and-prominent-vulnerabilities/
• https://www.techtarget.com/searchwindowsserver/news/365532560/Microsoft-stops-two-zero-days-for-March-Patch-Tuesday