info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

به‌روز‌رسانی ماهیانه مایکروسافت و رفع آسیب‌پذیری‌های مهم

خلاصه: مایکروسافت سه‌شنبه به‌روز‌رسانی‌های خود را برای نسخه‌های مختلف ویندوز عرضه نمود. این به‌روز‌رسانی‌ها آسیب‌پذیری‌های بسیاری را روی نسخه‌های مختلف ویندوز و دیگر محصولات مایکروسافت برطرف نمود. مایکروسافت این ماه علاوه بر به‌روز‌رسانی برای نسخه‌هایی از ویندوز که پشتیبانی می‌کند، بر خلاف روند معمول، برای بار دوم برای نسخه‌های قدیمی هم وصله‌هایی برای رفع آسیب‌پذیری‌هایی که گروه دلالان سایه با سرقت ابزار‌های هک NSA فاش کرده بود منتشر نموده است.

مایکروسافت در به‌روز‌رسانی این ماه وصله‌های امنیتی برای ۹۶ آسیب‌پذیری روی ویندوز و دیگر محصولات خود منتشر نمود. این وصله‌ها برای آسیب‌پذیری‌هایی هستند که تعدادی از آن‌ها توسط هکر‌ها مورد استفاده قرار گرفته و تعدادی از آن‌ها فاش شده و منتشر شده‌اند و به سادگی می‌توان از آن‌ها برای نفوذ بهره برد.

نکته مهم در به‌روز‌رسانی این ماه مایکروسافت، ارائه به‌روز‌رسانی برای سیستم‌عامل‌های قدیمی XP و سرور ۲۰۰۳ است. در این به‌روز‌رسانی آسیب‌پذیری‌هایی که گروه دلالان سایه فاش کرده بودند برطرف می‌شود.

با توجه به اینکه تعدادی از این آسیب‌پذیری‌ها در حملات استفاده شده و یا برای آن‌ها اکسپلویت‌های اثبات آسیب‌پذیری وجود دارد و به همین جهت استفاده از آن‌ها راحت است به کاربران توصیه می‌شود که هرچه سریع‌تر این به‌روز‌رسانی را دریافت کنند. در ادامه به آسیب‌پذیری‌هایی می‌پردازیم که در این به‌روز‌رسانی وصله شده‌اند.

دو آسیب‌پذیری که اکنون در حملات مورد استفاده قرار می‌گیرند، شامل ضعف امنیتی اجرای کد از راه دور روی جستجوی ویندوز با شناسه جهانی CVE-2017-8543 و باگ اجرای کد از راه دور روی LNK با شناسه جهانی CVE-2017-8464 هستند.

بین این دو آسیب‌پذیری، آسیب‌پذیری روی جستجوی ویندوز که روی بیشتر نسخه‌های ویندوز وجود داشته و روی سرویس‌های جستجوی ویندوز (WSS) که یک امکان است که به کاربر این امکان را می‌دهد که بین چند سرویس و کاربر‌های ویندوز به جستجو بپردازد وجود دارد. نسخه‌های ویندوز سرور ۲۰۱۶، ۲۰۱۲، ۲۰۰۸ و ویندوز‌های ۱۰، ۸.۱ و ۷ این آسیب‌پذیری را دارند.

این آسیب‌پذیری که از اوایل فوریه افشا شده است اجازه اجرای کد از راه دور روی سیستم‌عامل را می‌دهد و به مهاجم این امکان را می‌دهد که از طریق اتصال شبکه روی سیستم قربانی به اجرای کد بپردازد. علاوه بر این می‌تواند با تغییراتی در اتصال SMB، کنترل کامل کامپیوتر قربانی را به دست بگیرد. آسیب‌پذیری‌های مرتبط با SMB بسیار خطرناک هستند. بهترین مثال برای این آسیب‌پذیری، باج‌افزار WannaCry بود که با استفاده از آسیب‌پذیری روی SMB توانست تعداد زیادی کامپیوتر را در سراسر دنیا آلوده نماید.

آسیب‌پذیری دیگری که در این به‌روز‌رسانی وصله می‌شود آسیب‌پذیری بحرانی روی LNK هست و مربوط به روشی است که ویندوز میان‌بر‌های دسکتاپ LNK را مدیریت می‌کند که به هکر اجازه می‌دهد اجرای کد از راه دور انجام دهد.

بر اساس گزارش ZDI، حمله‌ای که از آسیب‌پذیری LNK استفاده می‌کند بسیار شبیه روشی است که بدافزار معروف استاکس‌نت برای نفوذ و تخریب سیستم‌های کنترل صنعتی به کار می‌برد.

شش آسیب‌پذیری روی مرورگر Edge مایکروسافت که به مهاجم اجازه دور زدن مکانیزم‌های امنیتی و یا افشای اطلاعات و یا تزیرق کد از راه دور می‌دهند و برای آن‌ها اکسپلویت‌های اثبات آسیب‌پذیری منتشر شده بود وصله می‌شوند. وصله‌های دیگر در مورد آسیب‌پذیری‌های آفیس، ایمیل و فایل‌های سیستمی می‌شوند.

همانطور که گفتیم این ماه مایکروسافت برای دومین بار به‌روز‌رسانی برای نسخه‌های قدیمی ویندوز که پشتیبانی از آن‌ها را خاتمه داده بود منتشر نمود. حدود یک ماه پیش زمانی که WannaCry در حال گسترش بود مایکروسافت برای رفع آسیب‌پذیری مورد استفاده این باج‌افزار اقدام به انتشار وصله برای ویندوز‌های XP و سرور ۲۰۰۳ نمود. البته در مقاله WannaCry دیگری در راه است؟ اشاره کردیم که در این به‌روز‌رسانی تنها یکی از چهار آسیب‌پذیری افشا شده در این ویندوز‌ها وصله شده و هنوز آسیب‌پذیری‌های جدی روی این ویندوز‌ها وجود دارد.

گروه دلالان سایه در افشای اطلاعات به سرقت رفته از آژانس ملی امنیت امریکا (NSA) آسیب‌پذیری‌ها و کد‌های اکسپلویت زیادی را افشا نمود. در به‌روز‌رسانی قبلی، مایکروسافت آسیب‌پذیری‌های پروتکل اشتراک فایل SMB را برطرف نمود. روی ویندوز‌های قدیمی یک پروتکل اشتراک فایل دیگر با نام RDP قرار دارد که آسیب‌پذیری‌ها و اکسپلویت‌هایی هم برای آن وجود دارد.

از چهار کد اکسپلویت EternalBlue، EsteemAudit، ExplodingCan و EnglishmanDentist تنها EternalBlue وصله شد و سه‌تای دیگر رها شدند.

در به‌روز‌رسانی منتشر شده این ماه برای سه اکسپلویت دیگر نیز وصله منتشر شده و آسیب‌پذیری‌ها برطرف شده‌اند. البته این به‌روز‌رسانی‌ها به صورت خودکار انجام نمی‌شوند و باید از سایت مایکروسافت دانلود شده و نصب شوند.

البته مایکروسافت اعلام کرده انتشار به‌روز‌رسانی به معنی تغییر سیاست‌های این شرکت در پشتیبانی از نسخه‌های قدیمی نیست و در این موارد تنها به خاطر جلوگیری از سو استفاده هکرها و سرویس‌های اطلاعاتی اقدام به رفع آسیب‌پذیری‌ها نموده است. همچنین اعلام کرده با اینکه این آسیب‌پذیری‌ها روی این نسخه‌ها برطرف شده، ویندوز‌های قدیمی از راهکار‌های جدید امنیتی بهره نمی‌برند و توصیه نموده تا حد امکان از نسخه‌های به روز ویندوز استفاده نمایند.