‫ اصلاح آسیب‌پذیری‌های روز صفر از سوی مایکروسافت

نوامبر 2024 مایکروسافت 89 مشکل امنیتی جدید را در محصولات مختلف خود رفع کرده است که دو مورد از آنها (CVE-2024-43451، CVE-2024-49039) دائما توسط مهاجمان مورد سوء‌استفاده قرار می‌گرفته‌اند.

آسیب‌پذیری‌های مورد سوء‌استفاده (CVE-2024-43451، CVE-2024-49039)

CVE-2024-43451 یک آسیب‌پذیری است که به مهاجمان اجازه می‌دهد با افشای هش NTLMv2 کاربر، که حاوی اعتبار احراز هویت آنها است، امتیازات خود را در ماشین‌های Windows و Windows Server هدفمند افزایش دهند سپس مهاجمان می‌توانند از هش برای احراز هویت به عنوان کاربر با استفاده از تکنیک هک به نام پاس دادن هش استفاده کنند.

ساتنام نارنگ، مهندس ارشد تحقیقاتی کارکنان در Tenable به Help Net Security گفت: «از نظر من، این سومین آسیب‌پذیری است که می‌تواند هش NTLMv2 کاربر را که در سال 2024 در طبیعت مورد سوء‌استفاده قرار گرفته است، افشا کند.

اگرچه ما در حال حاضر بینشی در مورد بهره‌برداری درونی از CVE-2024-43451 نداریم، یک چیز مسلم است: مهاجمان همچنان در مورد کشف و بهره‌برداری از آسیب‌پذیری‌های روز صفر که می‌توانند هش‌های NTLMv2 را فاش کنند، مصمم هستند. زیرا می‌توان از آنها برای احراز هویت در سیستم‌ها استفاده کرد و به طور بالقوه به صورت جانبی در یک شبکه برای دسترسی به سیستم‌های دیگر حرکت کرد.

تعامل کاربر - به عنوان مثال، انتخاب یا بازرسی فایل مخربی که اکسپلویت را در خود نگه می‌دارد، برای ایجاد آسیب‌پذیری لازم است، اما بدیهی است که این یک مانع واقعی برای مهاجمان نیست CVE-2024-49039 یک آسیب‌پذیری در Windows Task Scheduler است که برای بالا بردن امتیازات سیستم‌های نقض شده نیز مورد سوء‌استفاده قرار می‌گیرد.

«این آسیب به یک AppContainer اجازه فرار می‌دهد همچنین به کاربر با امتیاز پایین اجازه می‌دهد تا کد را با یکپارچگی متوسط اجرا کند. داستین چایلدز، رئیس آگاهی از تهدیدات در Trend Micro's Zero Day Initiative می‌گوید: هنوز باید بتوانید کد را روی سیستم اجرا کنید تا این اتفاق بیفتد، اما فرار از کانتینر (Container) همچنان بسیار جالب است زیرا به ندرت در طبیعت دیده می‌شود.

نارنگ افزود: "یک مهاجم پس از سوء‌استفاده، می‌تواند امتیازات خود را افزایش دهد و به منابعی که قبلا در دسترس آنها نبود و همچنین کدهایی مانند توابع فراخوانی از راه دور (RPC) دسترسی پیدا کند." ما اطلاعات زیادی در مورد بهره‌برداری از این نقص نداریم، اگرچه می‌دانیم که این نقص به افراد متعددی از جمله اعضای گروه تحلیل تهدیدات گوگل (TAG) نسبت داده می‌شود می‌توانیم استنباط کنیم برخی از تهدیدهای پایدار پیشرفته (APT) یا فعالیت‌های همسو با دولت در ارتباط با بهره‌برداری روز صفر از این نقص وجود دارد.

سایر آسیب‌پذیری‌های وصله شده 

CVE-2024-43639 مورد جالبی است: مایکروسافت می‌گوید: «یک مهاجم تأیید نشده می‌تواند از یک برنامه کاربردی ساخته‌شده ویژه برای استفاده از آسیب‌پذیری پروتکل رمزنگاری در Windows Kerberos برای اجرای کد از راه دور در برابر هدف استفاده کند».

رشته برداری CVSS مرتبط با این آسیب‌پذیری می‌گوید هیچ اقدام کاربر برای بهره‌برداری از آن لازم نیست Childs خاطرنشان کرد: «از آنجایی که Kerberos با امتیازات بالا اجرا می‌شود، این باعث می‌شود که این یک باگ قابل حل بین سیستم‌های آسیب‌دیده باشد.

CVE 2024-5535 - یک باگ در OpenSSL که در ژوئن 2024 فاش شد  در Microsoft Defender برای Endpoint وصله شده است.

«استفاده از این آسیب‌پذیری مستلزم آن است که مهاجم یک پیوند مخرب را از طریق ایمیل برای قربانی ارسال کند، یا اینکه کاربر را متقاعد کند که روی پیوند کلیک کند، در بدترین حالت حمله ایمیل، مهاجم می‌تواند یک ایمیل ساخته‌شده خاص را بدون نیاز به باز کردن، خواندن یا کلیک بر روی پیوند توسط قربانی برای کاربر ارسال کند مایکروسافت گفت که این امر می‌تواند منجر به اجرای کد از راه دور توسط مهاجم بر روی دستگاه قربانی شود، اما ارزیابی کرد که احتمال بهره‌برداری کمتر است.