وصله‌ی آسیب‌پذیری‌های بحرانی اجرای کد در ویندوز و مرورگرهای مایکروسافت

شرکت مایکروسافت با انتشار به‌روزرسانی‌های امنیتی برای ماه ژوئن ۲۰۲۰، در مجموع ۱۲۹ آسیب‌پذیری را در محصولات خود وصله کرد. طبق گزارش‌ها، ۱۱ مورد از این آسیب‌پذیری‌ها از نوع اجرای کد از راه دور و با شدت بحرانی بوده و ویندوز، مرورگرهای Edge و Internet Explorer و SharePoint را تحت تأثیر قرار می‌دهند.

چندین آسیب‌پذیری مهم نیز در ویندوز، مرورگرها،Office ،Windows Defender ،Dynamics ، Visual Studio، Azure DevOps و برنامه‌های اندروید وصله شده‌اند. یکی از این آسیب‌پذیری‌ها، یک اشکال افزایش امتیاز مربوط به سازوکار Group Policy Object (GPO) در ویندوز است. یک اشکال با شدت بحرانی در SharePoint وجود دارد که درصورت ایجاد و فراخوانی یک صفحه‌ی خاص طراحی‌شده در نسخه‌ی آسیب‌پذیر SharePoint توسط یک کاربر تأییدشده، می‌تواند به اجرای کد از راه دور منجر شود.

یک آسیب‌پذیری موجود در Office نیز که با شناسه‌ی CVE-2020-1229 ردیابی می‌شود، می‌تواند امکان بارگیری خودکار تصاویر از راه دور، حتی از داخل Preview Pane، را برای مهاجمان فراهم کند. درحالی‌که این آسیب‌پذیری به‌تنهایی می‌تواند آدرس IP سیستم هدف را افشا کند، می‌تواند از طریق پردازش تصاویر خاص طراحی‌شده، به اجرای کد نیز منجر شود. وصله‌های این آسیب‌پذیری برای نسخه‌ی ویندوز Office موجود است، اما نسخه‌های ۲۰۱۶ و ۲۰۱۹ این برنامه برای سیستم عامل Mac، هنوز وصله‌ای را دریافت نکرده‌اند.

به گفته‌ی محققان، در ماه جاری ۷۰ آسیب‌پذیری افزایش امتیاز وصله شده‌اند که ۱۹ مورد از آن‌ها، مربوط به درایورهای Kernel و Kernel-mode ویندوز هستند. همچنین، قابل‌توجه‌ترین اشکال spoofing این ماه، در برنامه‌ی Bing Search مایکروسافت برای سیستم عامل اندروید وصله شده است. وصله‌ی این آسیب‌پذیری در فروشگاه گوگل پلی در دسترس بوده و باید به‌صورت دستی نصب شود. این درحالی است که ۱۴ آسیب‌پذیری افشای اطلاعات نیز در ماه جاری وصله شده‌اند که دو مورد از آن‌ها با شناسه‌های CVE-2020-1242 و CVE-2020-1296، می‌توانند به افشای PII منجر شوند.

علاوه‌براین، یک آسیب‌پذیری اجرای کد از راه دور با شناسه‌ی CVE-2020-1281 در Object Linking & Embedding (OLE) مایکروسافت وصله شده است. این آسیب‌پذیری که ویندوز ۷ تا ۱۰ و ویندوز سرور ۲۰۰۸ تا ۲۰۱۹ را تحت تأثیر قرار می‌دهد، در نحوه‌ی  اعتبارسنجی ورودی‌های کاربر توسط OLE وجود دارد. مهاجم می‌تواند با ارسال یک فایل یا برنامه‌ی خاص طراحی‌شده و یا متقاعدکردن قربانی برای بازکردن یکی از آن‌ها، کد مخرب را بر روی دستگاه هدف اجرا کند. مایکروسافت در سیستم CVSS ، امتیاز ۷٫۸ را به این آسیب‌پذیری اختصاص داده است. آسیب‌پذیری مشابه دیگری با شناسه‌ی CVE-2017-0199، پیش از این توسط گروه‌های Lazarus و ۳۴ APT به‌صورت گسترده‌ای مورد بهره‌برداری قرار گرفته بود.

مایکروسافت همچنین از وصله‌ی یک آسیب‌پذیری اجرای کد از راه دور در SharePoint خبر داد. این آسیب‌پذیری که با شناسه‌ی CVE-2020-1181 ردیابی می‌شود، در نحوه‌ی پردازش کنترل‌های وب ناامن ASP.Net توسط SharePoint وجود دارد. این آسیب‌پذیری نسخه‌های ۲۰۱۰ تا ۲۰۱۹ SharePoint را تحت تأثیر قرار داده و برای بهره‌برداری از آن، به احراز هویت یک کاربر نیاز است.

در برنامه‌ی Excel مایکروسافت نیز دو آسیب پذیری اجرای کد از راه دور، با شناسه‌های CVE-2020-1225 و CVE-2020-1226 وصله شده‌اند. هر دوی این آسیب‌پذیری‌ها به نحوه‌ی به‌کارگیری اشیاء در حافظه توسط Excel مربوط هستند. مهاجم می‌تواند با ارسال یک سند خاص طراحی‌شده‌ی Excel یا میزبانی یکی از آن‌ها بر روی یک وب‌سایت، این آسیب‌پذیری‌ها را مورد بهره‌برداری قرار دهد. درصورت بازشدن این سند توسط کاربر آسیب‌پذیر، مهاجم می‌تواند با سطح امتیاز قربانی به‌صورت راه دور به سیستم دسترسی پیدا کند.

از سوی دیگر، یک آسیب‌پذیری اجرای کد از راه دور با شناسه‌ی CVE-2020-1299 در روش پردازش فایل‌های .LNK توسط مایکروسافت وصله شده است. این آسیب‌پذیری ویندوز ۷ تا ۱۰ و ویندوز سرور ۲۰۰۸ تا ۲۰۱۹ را تحت تأثیر قرار می‌دهد. برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید یک درایو قابل‌حمل یا یک درایو قابل به اشتراک‌گذاری از راه دور را که حاوی فایل مخرب .LNK است، تهیه کند. در مارس ۲۰۲۰، مایکروسافت از شناسایی آسیب‌پذیری مشابهی با شناسه‌ی CVE-2020-0684 خبر داده بود. در آن زمان، نگرانی‌های زیادی در مورد بهره‌برداری از این آسیب‌پذیری وجود داشت، اما تا به امروز، بهره‌داری از آن در دنیای واقعی گزارش نشده است.

در ماه جاری، تعداد قابل‌توجهی از آسیب‌پذیری‌های وصله‌شده مربوط به مؤلفه‌های اصلی خود ویندوز (از جمله Kernel) هستند که ۵۴ مورد از ۱۲۹ آسیب‌پذیری را شامل می‌شوند. دو آسیب‌پذیری قابل‌توجه CVE-2020-1238  و CVE-2020-1239 نیز در مؤلفه‌ی Media ویندوز وصله شده‌اند. از آن‌جایی که بردار حمله‌ی این دو آسیب‌پذیری، یک صفحه‌ی وب مخرب است، می‌توان آن‌ها را با آسیب‌پذیری‌های مرورگر پیوند داد.

در مقابل، پنج مورد از ۱۱ آسیب‌پذیری بحرانی اجرای کد از راه دور با شناسه‌های CVE-2020-1213، CVE-2020-1216، CVE-2020-1219، CVE-2020-1073  و CVE-2020-1260، در مرورگرها وجود دارد که می‌توان از طریق اقدامات امنیتی مناسب، به‌خوبی خطر آن‌ها را کاهش داد. بااین‌وجود، همیشه بهتر است که آسیب‌پذیری‌‌هایی مانند CVE-2020-1213، یک آسیب‌پذیری اجرای کد از راه دور VBScript، وصله شوند.

محققان امنیتی همچنین خاطرنشان کردند، آخرین وصله‌های منتشرشده توسط مایکروسافت برای ماه ژوئن نشان می‌دهد که آسیب‌پذیری‌های قدیمی ممکن است دوباره ایجاد شوند. به‌عنوان مثال، آسیب‌پذیری‌هایی که در چند سال گذشته در Adobe Flash کشف شده بودند، در ماه جاری به همراه آسیب‌پذیری‌های رایج اسکریپت‌نویسی میان‌وبگاهی مجددا وصله شده‌اند. این موضوع می‌تواند در نتیجه‌ی کندوکاو بیشتر یک آسیب‌پذیری توسط محققان باشد و یا خود مایکروسافت در تلاش برای وصله‌ی تمامی آسیب‌پذیری‌ها، جریان‌های مشابهی از کد را دنبال می‌کند.

به گفته‌ی مایکروسافت، هیچ‌کدام از حفره‌های امنیتی وصله‌شده در ماه جاری در حملات مورد بهره‌برداری قرار نگرفته و یا قبل از انتشار وصله‌ها، به‌صورت عمومی افشا نشده‌اند. در نهایت، محققان اظهار داشتند، این چهارمین ماه پیاپی است که مایکروسافت بیش از ۱۱۰ آسیب‌پذیری را وصله می‌کند. تعداد کل وصله‌های منتشرشده توسط مایکروسافت تا به امروز در سال جاری، ۶۱۶ مورد بوده که تقریبا با تعداد کل آسیب‌پذیری‌های وصله‌شده در سال ۲۰۱۷ میلادی برابر است.

منبع

پست‌های مشابه

Leave a Comment