مایکروسافت دو روز صفر در این ماه وصله می کند

مایکروسافت بیش از 80 آسیب پذیری را در دور به روز رسانی Patch Tuesday این ماه برطرف کرده است، از جمله دو روز صفر که به طور فعال در طبیعت مورد سوء استفاده قرار گرفته است.

یکی از آن‌ها CVE-2023-23397 است، که یک باگ امتیاز مهم در Outlook با امتیاز CVSS 9.8 است.

حمله را می توان بدون هیچ گونه تعامل با کاربر با ارسال یک ایمیل ساخته شده خاص که هنگام بازیابی توسط سرور ایمیل به طور خودکار فعال می شود، اجرا شود. مایک والترز، معاون تحقیقات آسیب‌پذیری و تهدید Action1 توضیح می‌دهد که این می‌تواند قبل از اینکه ایمیل حتی در صفحه پیش‌نمایش مشاهده شود، منجر به سوءاستفاده شود.

اگر با موفقیت مورد سوء استفاده قرار گیرد، یک مهاجم می‌تواند به هش Net-NTLMv2 کاربر دسترسی پیدا کند، که می‌تواند برای اجرای یک حمله هش به سرویس دیگر و احراز هویت به عنوان کاربر استفاده شود.

این اشکال توسط تیم واکنش اضطراری رایانه ای برای اوکراین (CERT-UA) گزارش شد و اشاره کرد که به طور فعال توسط عوامل تهدید روسیه مورد سوء استفاده قرار می گیرد.

درباره حمله سایبری روسیه در اوکراین بیشتر بخوانید: مایکروسافت: روسیه صدها عملیات سایبری را در اوکراین راه اندازی کرده است.

روز صفر دوم، CVE-2023-24880، یک دور زدن ویژگی امنیتی در SmartScreen ویندوز است.

به گفته مایکروسافت، این مهاجمان را قادر می‌سازد تا فایل‌های مخربی بسازند که قادر به دور زدن خطوط دفاعی Mark-of-the-Web (MOTW) در ویژگی‌هایی مانند Protected View in Office هستند.

کریس گوتل، معاون محصولات امنیتی ایوانتی توضیح داد: «این CVE بر تمام نسخه‌های پشتیبانی‌شده در حال حاضر سیستم عامل ویندوز تأثیر می‌گذارد. امتیاز CVSS فقط 5.4 است، که ممکن است از توجه بسیاری از سازمان ها جلوگیری کند و این CVE به تنهایی ممکن است آنقدرها هم تهدیدکننده نباشد، اما احتمالاً در یک زنجیره حمله با اکسپلویت های اضافی استفاده شده است. اولویت‌بندی به‌روزرسانی این ماه سیستم عامل خطر را برای سازمان شما کاهش می‌دهد.»

گال ساده، سرپرست داده ها و تحقیقات امنیتی در Silverfort استدلال می کند که از 9 CVE حیاتی فهرست شده در این ماه، CVE-2023-21708 نیز باید در اولویت تیم های امنیتی باشد. این به یک اشکال اجرای کد از راه دور در Remote Procedure Call Runtime اشاره دارد که به مهاجمان احراز هویت نشده اجازه می دهد تا دستورات از راه دور را روی یک ماشین هدف اجرا کنند.

او افزود: «عملگران تهدید می‌توانند از این برای حمله به کنترل‌کننده‌های دامنه، که به‌طور پیش‌فرض باز هستند، استفاده کنند». “برای کاهش، توصیه می کنیم کنترل کننده های دامنه فقط RPC را از شبکه های مجاز مجاز کنند و ترافیک RPC به نقاط پایانی و سرورهای غیر ضروری محدود است.”