بهروزرسانیهای وصلهی روز سهشنبهی ماه دسامبر سال ۲۰۱۹ میلادی مایکروسافت در مجموع ۳۶ آسیبپذیری شامل یک آسیبپذیری روز-صفرم بهرهبرداریشده در حملات مرتبط با کره و یک آسیبپذیری روز-صفرم کروم را رفع کرده است. آسیبپذیری روز-صفرم ویندوز که بهتازگی وصله شد با شناسهی CVE-2019-1458 ردیابی میشود و یک آسیبپذیری ارتقاء امتیاز مربوط به نحوهی مدیریت اشیای حافظه توسط مؤلفهی Win32k است. یک مهاجم میتواند از این حفرهی امنیتی برای اجرای کد دلخواه در حالت هسته بهرهبرداری کند.
مایکروسافت به خاطر گزارش این آسیبپذیری، به آزمایشگاه کسپرسکی پاداش داد و تأیید کرد که از این ضعف امنیتی علیه نسخههای قدیمیتر ویندوز بهرهبرداری شده است. بهگفتهی کسپرسکی، این آسیبپذیری روز-صفرم در پویشی به نام Operation WizardOpium مورد بهرهبرداری قرار گرفته است. این شرکت امنیتی اولین بار در تاریخ ۱ نوامبر، اندکی پس از آنکه گوگل اعلام کرد که یک آسیبپذیری کروم را وصله کرده است، از انجام این عملیات خبر داد.
کسپرسکی بیان میکند که بهرهبرداری کروم همچنین از یک بهرهبرداری برای آسیبپذیری وصلهشده توسط مایکروسافت استفاده میکند. این امر به مهاجمان اجازه میدهد تا امتیازات را در سیستم آسیبدیده ارتقاء دهد و جعبهی شنی فرآیند کروم را دور بزند. این شرکت معتقد است که این بهرهبرداری توسط شخصی با نام مستعار Volodya توسعه یافته است که بهرهبرداریها را هم به مجرمان سایبری و هم به گروههای تهدید پیشرفته میفروشد.
کسپرسکی اعلام کرده است که بهرهبرداری ارتقاء امتیاز در مورد ویندوز ۷ و برخی نسخههای ویندوز ۱۰ کار میکند اما آخرین نسخههای ویندوز ۱۰ تحت تأثیر آن قرار نمیگیرند. کسپرسکی تشریح کرد که این آسیبپذیری به عملکرد تعویض ویندوز مربوط است. به همین دلیل است که کد این بهرهبرداری از فراخوانیهای WinAPI برای تقلید عملکرد فشرده شدن کلید استفاده میکند. فایل حاوی بهرهبرداری مربوط به CVE-2019-1458 در ۱۰ جولای کامپایل شد.
در ماه نوامبر، کسپرسکی بیان کرد که برخی شباهتهای کدی کشف کرده است که ارتباط احتمالی با عامل تهدید مرتبط با کرهی شمالی به نام لازاروس را نشان میدهد. آنها همچنین شباهتهایی با حملات راهاندازیشده توسط DarkHotel کشف کردهاند که نهادهایی را که احتمالاً تحت حمایت کرهی جنوبی هستند هدف قرار میدهد.
هیچ یک از آسیبپذیریهای وصلهشده توسط مایکروسافت در ماه جاری بهصورت عمومی منتشر نشده است. از بین آسیبپذیریهای باقیمانده، ۷ مورد بحرانی ارزیابی شده است. این آسیبپذیریها Git ویژوال استودیو، ویندوز و Hyper-V را تحت تأثیر قرار میدهد و همهی آنها امکان اجرای کد از راه دور را فراهم میکنند.