مایکروسافت همچنین امروز اصلاحاتی را برای دو آسیبپذیری مهم روز صفر منتشر میکند که در اوایل آوریل 2022 به طور فعال مورد سوء استفاده قرار گرفتند. دو آسیبپذیری مورد سوء استفاده CVE-2023-23397 و CVE-2023-24880 هستند. CVE-2023-23397 یک حمله امتیاز بالا است که ایمیل های خاصی ایجاد می کند که می تواند دستگاه هدف را مجبور کند به URL های راه دور متصل شود و هش Net-NTLMv2 حساب ویندوز را منتقل کند. CVE-2023-24880 یک آسیبپذیری Windows SmartScreen است که میتواند برای ایجاد فایلهای اجرایی که اخطار امنیتی Windows Mark of the Web را دور میزنند، مورد سوء استفاده قرار گیرد.
مایکروسافت موارد زیر را برای CVE-2023-23397 اعلام می کند:
“CVE-2023-23397 یک آسیب پذیری بحرانی EoP در Microsoft Outlook است که زمانی فعال می شود که یک مهاجم پیامی با ویژگی MAPI توسعه یافته با یک مسیر UNC به یک سهم SMB (TCP 445) روی سروری که توسط یک عامل مخرب کنترل می شود، ارسال می کند. تعامل کاربر مورد نیاز است. اتصال به سرور SMB راه دور، پیام دست دادن کاربر NTLM را ارسال می کند، سپس مهاجم می تواند آن را برای احراز هویت به سیستم های دیگری که از احراز هویت NTLM پشتیبانی می کنند، ارسال کند. می تواند ایمیل های ساخته شده مخصوص ارسال کند که باعث می شود قربانی به یک UNC خارجی متصل شود. مکان تحت کنترل مهاجمان، هش Net-NTLMv2 قربانی را در اختیار مهاجم قرار می دهد و سپس می تواند آن را به سرویس دیگری منتقل کند و به عنوان قربانی احراز هویت کند.
CVE-2023-23397 در ابتدا توسط CERT-UA (تیم واکنش اضطراری رایانه ای اوکراین) گزارش شد و توسط CERT-UA، Microsoft Incident و Microsoft Threat Intelligence فاش شد. در این افشاگری اخیراً آمده است:
«اطلاعات تهدیدات مایکروسافت ارزیابی میکند که یک عامل تهدید مستقر در روسیه از سوء استفاده وصلهشده در CVE-2023-23397 در حملات هدفمند علیه تعداد محدودی از سازمانها در بخشهای دولتی، حملونقل، انرژی و نظامی در اروپا استفاده کرده است».
این گزارش همچنین بیان میکند که این نقص روی همه نسخههای Microsoft Outlook برای ویندوز تأثیر میگذارد، اما هیچ تأثیری بر Outlook برای Mac، iOS، Android یا Outlook در وب ندارد، زیرا سرویسهای آنلاین از Microsoft Outlook برای ویندوز استفاده نمیکنند. احراز هویت NTLM. مایکروسافت اسکریپتی منتشر کرده است که به سازمان ها اجازه می دهد بررسی کنند که آیا هدف حمله قرار گرفته اند یا خیر.
مهاجمان فایلهای MSI را با امضای نامعتبر اما بهطور ویژه ساختهشده Authenticode تحویل میدهند. امضای نادرست باعث میشود که SmartScreen خطایی را برگرداند که باعث میشود کاربران از گفتگوی هشدار امنیتی که به کاربران نمایش داده میشود دور بزنند، زمانی که یک فایل غیرقابل اعتماد حاوی Mark-of-the-Web (MotW) است، که نشان میدهد یک فایل بالقوه مخرب از اینترنت دانلود شده است. . TAG بیش از 100000 دانلود فایل مخرب MSI را از ژانویه 2023 مشاهده کرده است که بیش از 80 درصد از آنها از کاربران در اروپا بوده است – یک تفاوت قابل توجه با هدف گیری معمولی Magniber که معمولاً روی کره جنوبی و تایوان متمرکز است. »
گزارش کامل کامل وصله های امنیتی لو رفته برای مارس 2023 در اینجا موجود است. واقعا خواندن سبک نیست.
مرجع اخبار سخت افزار کامپیوترایران
در رابطه با CVE-2023-24880، محققان Benoît Sevens و Vlad Stolyarov از گروه تحلیل تهدیدات گوگل و همچنین مایکروسافت به اشتراک می گذارند:
هنگامی که یک فایل را از اینترنت دانلود می کنید، ویندوز شناسه منطقه یا علامت وب (MOTW) را به عنوان یک جریان NTFS به فایل اضافه می کند. بنابراین وقتی فایل را اجرا می کنید، Windows SmartScreen بررسی می کند که آیا منطقه شناسه منطقه وجود دارد یا خیر. جریان داده جایگزین (ADS) پیوست شده به فایل اگر ADS ZoneId=3 را نشان دهد، به این معنی که فایل از اینترنت دانلود شده است، SmartScreen یک بررسی اعتبار انجام می دهد.