مایکروسافت آسیب‌پذیری که در دنیای واقعی مورد بهره‌برداری قرار گرفته بود را وصله کرد

مایکروسافت آسیب‌پذیری که در دنیای واقعی مورد بهره‌برداری قرار گرفته بود را وصله کرد

چهارشنبه, ۱۹ مهر, ۱۳۹۶ ساعت ۲۲:۰۰

 

محققان امنیتی مدیران شبکه ها را ترغیب می کنند تا حتما به روزرسانی های امنیتی مایکروسافت برای آفیس را اعمال کنند تا یک آسیب پذیری که در دنیای واقعی مورد بهره برداری قرار گرفته را وصله کنند. این آسیب پذیری با شناسه ی CVE-2017-11826 به مهاجم در صورتی که قربانی یک فایل جعلی آفیس را باز کند، اجازه ی اجرای کد از راه دور را می دهد. این آسیب پذیری یکی از ۶۲ اشکالی است که مایکروسافت در به روزرسانی های امنیتی خود در دومین سه‌شنبه ی هر ماه وصله کرده است. ۲۳ مورد از آسیب پذیری ها حیاتی بوده، ۳۴ مورد مهم و ۳۳ مورد نیز می توانند منجر به اجرای کد از راه دور بشوند.


مایکروسافت گفته است اگر کاربر در قالب حساب کاربری مدیریتی وارد شود و مورد نفوذ قرار بگیرد، مهاجم می‌تواند کنترل کامل سامانه را در دست گرفته، برنامه‌های دلخواه خود را نصب کرده و حساب‌های جدید با دسترسی‌های سطح بالا ایجاد کند. به این آسیب‌پذیری درجه‌ی اهمیت بالا داده شده و نه حیاتی ولی وصله‌ی آن بسیار حائز اهمیت بوده چرا که در حملات فعال در دنیای واقعی مورد بهره‌برداری قرار گرفته بود. 


محققانی که این آسیب‌پذیری را کشف کردند، اعلام کردند این آسیب‌پذیری تعداد محدودی از مشتریان مایکروسافت را هدف قرار می‌دهد مهاجم اسناد .docx مخرب را در فایل‌های RTF تعیبه می‌کند. با تحلیل سرور دستور و کنترل، محققان متوجه شدند که این بهره‌برداری از ماه آگوست آغاز شده و اجرای حمله نیز به قبل از ماه سپتامبر برمی‌گردد.


یک محقق امنیتی در پست وبلاگی پس از انتشار به‌روزرسانی‌های امنیتی گفت: «اولویت ویژه‌ای باید به آسیب‌پذیری با شناسه‌ی CVE-2017-11771 داده شود که در سرویس جستجوی ویندوز وجود دارد. این چهارمین به‌روزرسانی امنیتی است که در آن یک آسیب‌پذیری در این سرویس وصله می‌شود. مشابه آسیب‌پذیری‌های قبلی، مهاجم می‌تواند از راه دور و استفاده از SMB از این آسیب‌پذیری بهره‌برداری کرده و کنترل سیستم را در دست بگیرد. این آسیب‌پذیری می‌تواند سرورها و محیط‌های کاری را تحت تاثیر قرار دهد.» این محقق افزود هرچند که آسیب‌پذیری CVE-2017-11771 با استفاده از پروتکل SMB مورد بهره‌برداری قرار می‌گیرد ولی به بهره‌برداری EternalBlue و استفاده از SMB در باج‌افزارهای WannaCry و نات‌پتیا مربوط نیست. 


از بین دیگر آسیب‌پذیری‌ها، مایکروسافت یک آسیب‌پذیری حیاتی با شناسه‌ی CVE-2017-11779 را در کلاینت DNS وصله کرده است. مهاجم می‌توانست با بهره‌برداری از این آسیب‌پذیری، کدهای مخرب خود را در پاسخ به درخواست‌های DNS ارسال کند و در کلاینت و سرور ویندوز به اجرای کد دلخواه بپردازد. سیستم‌هایی که تحت تاثیر قرار گرفته‌اند شامل ویندوزهای ۸.۱ تا ۱۰ است و ویندوز سرور ۲۰۱۰ و ۲۰۱۶ نیز در معرض خطر قرار دارند.


یکی دیگر از آسیب‌پذیری‌های قابل توجه در Subsystem ویندوز برای لینوکس وجود دارد. این آسیب‌پذیری با شناسه‌ی CVE-2017-8703 یک اشکال منع سرویس است که پیش از انتشار وصله‌های امنیتی به‌طور عمومی افشاء شده بود. بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه می‌دهد اشیاء حافظه را با اجرای برنامه‌های جعلی تحت تاثیر قرار می‌دهد. مایکروسافت اعلام کرده ویندوز ۱۰ تنها سیستمی است که تحت تاثیر این آسیب‌پذیری قرار گرفته است.


یک آسیب‌پذیری دیگر با شناسه‌ی CVE-2017-11777 یک اشکال XSS در شیرپوینت آفیس است که مهاجم با ارسال درخواست‌های جعلی به شیرپوینت‌های آسیب‌پذیر می‌تواند از این اشکال بهره‌برداری کند. اگر بهره‌برداری از این آسیب‌پذیری موفقیت‌آمیز باشد، مهاجم به دسترسی‌های مساوی با کاربر جاری دست یافته و می‌تواند داده‌هایی را بخواند که قبلا به آن‌ها دسترسی نداشته است. مهاجم همچنین می‌تواند از شناسه‌ و هویت قربانی سوءاستفاده کرده و کدهای مخرب خود را در مرورگر قربانی تزریق کند.
 

منبع


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

14 + هفده =