اصلاحیه‌های امنیتی مایکروسافت برای سومین ماه میلادی 2023

سه‌شنبه 23 اسفند 1401، شرکت مایکروسافت (Microsoft)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس 2023 منتشر کرد. اصلاحیه‌های مذکور 80 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 9 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:

  • «افزایش سطح دسترسی» (Elevation of Privilege)
  • «اجرای کد از راه دور» (Remote Code Execution)
  • «افشای اطلاعات» (Information Disclosure)
  • «منع سرویس» (Denial of Service – به اختصار DoS)
  • «دور زدن مکانیزم‌های امنیتی» (Security Feature Bypass)
  • «جعل» (Spoofing)

آسیب‌پذیری‌های‌ روز-صفر

دو مورد از آسیب‌پذیری‌های ترمیم شده این ماه (با شناسه‌های CVE-2023-23397 و CVE-2023-24880)، از نوع «روز-صفر» می‌باشند که اگرچه تنها یک مورد (CVE-2023-24880) به طور عمومی افشاء شده‌ ولی هر دو مورد آن به طور گسترده در حملات مورد سوء‌استفاده قرار گرفته‌اند.

لازم به ذکر است که PoC یکی از ضعف‌های امنیتی (CVE-2022-43552) که پیشتر وصله آن ارائه شده بود نیز منتشر شده است؛ این آسیب‌پذیری که Open Source Curl موجود در چندین محصول مایکروسافت نظیر Windows Server ،Windows Desktop و CBL-Mariner 2.0 – یکی از نسخ سیستم‌عامل Linux که مایکروسافت برای بسترهای ابری آن را توسعه داده – از آن تاثیر می‌پذیرد، در ماه مارس 2023 مجدد به‌روزرسانی شده است. Open Source Curl یکی از ابزارهای خط فرمان (Command Line) است که برای ارسال داده با پروتکل‌های مختلف شبکه مورد استفاده قرار می‌گیرد.

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

در ادامه به بررسی جزئیات ضعف‌های امنیتی روز-صفر که در ماه میلادی مارس 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم:

  • CVE-2023-23397: این آسیب‌پذیری روز-صفر دارای درجه اهمیت «بحرانی» بوده و از نوع «افزایش سطح دسترسی» است. این ضعف امنیتی بر Microsoft Outlook تاثیر می‌گذارد. مهاجم می‌تواند با ارسال یک ایمیل دستکاری شده از این آسیب‌پذیری سوءاستفاده نموده و منجر به اتصال قربانی به یک UNC خارجی تحت کنترل مهاجم شود. در این صورت مهاجم قادر به دستیابی به هش Net-NTLMv2 حساب Windows قربانی بوده و می‌تواند این را به سرویس دیگری منتقل کند و از این طریق احراز هویت شود. مایکروسافت هشدار داده که این ضعف امنیتی به‌طور خودکار هنگام بازیابی و پردازش توسط سرور ایمیل (Email Server)، قبل از خواندن ایمیل در صفحه پیش‌نمایش (Preview Pane) فعال می‌شود.
  • CVE-2023-24880: این آسیب‌پذیری ترمیم شده، دارای درجه اهمیت «میانه» (Moderate) بوده و Windows SmartScreen از آن متاثر می‌شود. مهاجم می‌تواند با ایجاد فایلی مخرب، راهکار دفاعی Windows به نام  Mark of the Web – به اختصار MotW – را دور زده و منجر به از دست دادن محدود یکپارچگی و غیرفعال شدن ویژگی‌های امنیتی نظیر Protected View در Microsoft Office که بر MotW متکی است، ‌شود. در صورت سوءاستفاده موفق از این ضعف امنیتی، مهاجم قادر خواهد بود فایل مخرب را بدون ایجاد هشدار امنیتی MotW اجرا نماید. مهاجمان به طور فعال از این ضعف امنیتی در کارزارهای متعددی جهت توزیع و اجرای بدافزارها سوءاستفاده می‌کنند.

آسیب‌پذیری‌های بحرانی

علاوه بر ضعف امنیتی روز-صفر CVE-2023-23397 که دارای درجه اهمیت «بحرانی» می‌باشد، 8 مورد از دیگر آسیب‌پذیری‌های ترمیم شده ماه مارس 2023 دارای درجه اهمیت «بحرانی» می‌باشند که در ادامه به جزئیات برخی از آنها می‌پردازیم:

  • CVE-2023-23411: این ضعف امنیتی «بحرانی» ترمیم شده، از نوع «منع سرویس» می‌باشد و Windows Hyper-V را تحت تاثیر قرار می‌دهد. سوءاستفاده از این آسیب‌پذیری به تعامل کاربر نیازی ندارد و پس از سوءاستفاده موفق، مهاجم سرور Hyper-V را در اختیار دارد.
  • CVE-2023-23392: این آسیب‌پذیری بر HTTP Protocol Stack تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» می‌باشد. مایکروسافت احتمال داده که این ضعف امنیتی «بحرانی» تا 30 روز پس از انتشار وصله، مورد سوءاستفاده قرار بگیرد. ضعف امنیتی مذکور از راه دور قابل سوءاستفاده بوده و نیازی به تعامل کاربر یا در اختیار داشتن امتیازات سیستم ندارد. مهاجم با ارسال یک بسته مخرب دستکاری شده به سرور هدف که از http.sysا (HTTP Protocol Stack) برای پردازش بسته‌ها استفاده می‌کند، از این ضعف سوءاستفاده می‌نماید. جالب اینجاست که این ضعف امنیتی فقط آخرین نسخه‌های سیستم‌عامل Windows (Windows 11 و Windows Server 2022) را تحت تاثیر قرار می‌دهد.
  • CVE-2023-23416: این آسیب‌پذیری بر Windows Cryptographic Services  – مجموعه‌ای از ابزارهای رمزنگاری در Windows – تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» می‌باشد. بکارگیری یک گواهینامه مخرب توسط مهاجم احراز هویت شده و یا متقاعد نمودن قربانی به باز نمودن یک گواهینامه دستکاری شده از جمله سناریوهای قابل تصور برای سوءاستفاده از این آسیب‌پذیری محسوب می‌شود. مایکروسافت احتمال سوءاستفاده موفق از این نقص امنیتی را بالا ارزیابی کرده است.
  • CVE-2023-23415: این آسیب‌پذیری از نوع «اجرای کد از راه دور» بوده و بر Internet Control Message Protocol – به اختصار ICMP – تاثیر می‌گذارد. این آسیب‌پذیری مربوط به نحوه مدیریت بسته‌های ICMP توسط سیستم‌عامل است؛ زمانی که یک برنامه در حال اجرا بر روی سرور آسیب‌پذیر Windows به یک سوکت خام متصل می‌شود. مهاجم با ارسال یک بسته IP مخرب و تکه تکه شده به یک هدف آسیب‌پذیر قادر به اجرای کد دلخواه می‌باشد. مایکروسافت احتمال سوءاستفاده از این ضعف امنیتی را بالا اعلام نموده است. سوءاستفاده از این آسیب‌پذیری که به یک پروتکل گزارش خطا مربوط می‌شود، نیازی به دسترسی به امتیازات سیستم یا تعامل کاربر ندارد.

  • CVE-2023-21708: این ضعف امنیتی از نوع «اجرای کد از راه دور» بوده و Remote Procedure Call Runtime از آن تاثیر می‌پذیرد. یک مهاجم احراز هویت نشده با فراخوانی RPC دستکاری شده در سرور RPC قادر به سوءاستفاده از این آسیب‌پذیری می‌باشد. این می‌تواند منجر به اجرای کد از راه دور در سمت سرور با همان مجوزهای سرویس RPC شود. مسدودسازی پورت TCP 135 در فایروال سازمان بهترین راهکار توصیه شده است که می تواند احتمال برخی از حملات احتمالی علیه این آسیب‌پذیری را کاهش دهد.

  • CVE-2023-1017 و CVE-2023-1018: این دو آسیب‌پذیری «بحرانی» ترمیم شده، Trusted Platform Module (TPM) Module Library را تحت تاثیر قرار می‌دهند. این CVE مربوط به یک آسیب‌پذیری در یک درایور ثالث است. مهاجم با اجرای فرامین مخرب TPM از یک VM Guest بر روی سرور مورد نظری که Hyper-V را اجرا می‌کند، قادر به نوشتن خارج از محدوده در پارتیشن ریشه (Root) می‌شود. مهاجم با سوءاستفاده از این ضعف امنیتی قادر است تا 2 بایت داده را در انتهای فرمان TPM2.0 در روتین CryptParameterDecryption بنویسید. سوءاستفاده موفق از این آسیب‌پذیری می‌تواند منجر به منع سرویس (از کار انداختن تراشه/پروسه TPM یا غیرقابل استفاده شدن آن) و/یا اجرای کد دلخواه در TPM شود.

  • CVE-2023-23404: آخرین آسیب‌پذیری «بحرانی» ترمیم شده در ماه مارس 2023، بر Windows Point-to-Point Tunneling Protocol تاثیر می‌گذارد و از نوع «اجرای کد از راه دور» است. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به سوءاستفاده از آن می‌باشد؛ جهت سوءاستفاده، مهاجم احراز هویت نشده می‌تواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیب‌پذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا نماید.

 آسیب‌پذیری‌های مورد توجه

در ادامه به بررسی جزئیات دیگر آسیب‌پذیری‌های اصلاح شده این ماه و به ویژه به مواردی که ممکن است بیشتر مورد توجه مهاجمان قرار گیرند، می‌پردازیم.

  • CVE-2023-22490 ،CVE-2023-22743 ،CVE-2023-23618 و CVE-2023-23946: مایکروسافت در ماه مارس 2023، این چهار ضعف‌امنیتی  را که از GitHub سرچشمه می‌گیرد، ترمیم کرده است. این آسیب‌پذیری‌ها دارای درجه اهمیت «زیاد» بوده و مربوط به سیستم کنترلی نسخه  Git که در Visual Studio گنجانده شده، می‌باشند.

  • CVE-2022-23825 ،CVE-2022-23816 ،CVE-2022-23257: مایکروسافت علاوه بر CVE-2022-43552، به‌روزرسانی‌هایی را برای سه ضعف امنیتی قدیمی‌تر – که همگی مربوط به سال 2022  می‌باشند – را در مارس 2023 ارائه کرده است.

 

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه ‌اصلاحیه‌های ماه میلادی مارس 2023 مایکروسافت در جدول زیر قابل مطالعه است.

 

تاریخ انتشار

تاریخ آخرین به‌روز‌رسانی

شناسه CVE

عنوان آسیب‌پذیری

افشای عمومی

احتمال

سوءاستفاده

Mar 14, 2023

Mar 14, 2023

CVE-2023-24930

Microsoft OneDrive for MacOS Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24923

Microsoft OneDrive for Android Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24922

Microsoft Dynamics 365 Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24921

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24920

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24919

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24913

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24911

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24910

Windows Graphics Component Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24909

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24908

Remote Procedure Call Runtime Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24907

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24906

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24892

Microsoft Edge (Chromium-based) Webview2 Spoofing Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24891

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24890

Microsoft OneDrive for iOS Security Feature Bypass Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24882

Microsoft OneDrive for Android Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24880

Windows SmartScreen Security Feature Bypass Vulnerability

بله

مورد سوءاستفاده قرار گرفته

Mar 14, 2023

Mar 14, 2023

CVE-2023-24879

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24876

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24872

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24871

Windows Bluetooth Service Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24870

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24869

Remote Procedure Call Runtime Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24868

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24867

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24866

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24865

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24864

Microsoft PostScript and PCL6 Class Printer Driver Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24863

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24862

Windows Secure Channel Denial of Service Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24861

Windows Graphics Component Elevation of Privilege Vulnerability

خیر

زیاد

Mar 14, 2023

Mar 14, 2023

CVE-2023-24859

Windows Internet Key Exchange (IKE) Extension Denial of Service Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24858

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24857

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-24856

Microsoft PostScript and PCL6 Class Printer Driver Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23946

GitHub: CVE-2023-23946 mingit Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23618

GitHub: CVE-2023-23618 Git for Windows Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23423

Windows Kernel Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23422

Windows Kernel Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23421

Windows Kernel Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23420

Windows Kernel Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23419

Windows Resilient File System (ReFS) Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23418

Windows Resilient File System (ReFS) Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23417

Windows Partition Management Driver Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23416

Windows Cryptographic Services Remote Code Execution Vulnerability

خیر

زیاد

Mar 14, 2023

Mar 14, 2023

CVE-2023-23415

Internet Control Message Protocol (ICMP) Remote Code Execution Vulnerability

خیر

زیاد

Mar 14, 2023

Mar 14, 2023

CVE-2023-23414

Windows Point-to-Point Protocol over Ethernet (PPPoE) Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23413

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23412

Windows Accounts Picture Elevation of Privilege Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23411

Windows Hyper-V Denial of Service Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23410

Windows HTTP.sys Elevation of Privilege Vulnerability

خیر

زیاد

Mar 14, 2023

Mar 14, 2023

CVE-2023-23409

Client Server Run-Time Subsystem (CSRSS) Information Disclosure Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23408

Azure Apache Ambari Spoofing Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23407

Windows Point-to-Point Protocol over Ethernet (PPPoE) Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23406

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23405

Remote Procedure Call Runtime Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23404

Windows Point-to-Point Tunneling Protocol Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23403

Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23402

Windows Media Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23401

Windows Media Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23400

Windows DNS Server Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23399

Microsoft Excel Remote Code Execution Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23398

Microsoft Excel Spoofing Vulnerability

خیر

زیاد

Mar 14, 2023

Mar 14, 2023

CVE-2023-23397

Microsoft Outlook Elevation of Privilege Vulnerability

خیر

مورد سوءاستفاده قرار گرفته

Mar 14, 2023

Mar 14, 2023

CVE-2023-23396

Microsoft Excel Denial of Service Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23395

Microsoft SharePoint Server Spoofing Vulnerability

خیر

کم

Mar 14, 2023

Mar 14, 2023

CVE-2023-23394

Client Server Run-Time Subsystem (CSRSS) Information Disclosure Vulnerability

خیر

کم

 

منابع

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات