مایکروسافت وصله‌های ویندوز را منتشر می‌کند و آسیب‌پذیری‌های روز صفر را که به‌طور فعال مورد سوء استفاده قرار گرفته‌اند را برطرف می‌کند

مایکروسافت امروز مجموعه‌ای از به‌روزرسانی‌ها را برای وصله سه‌شنبه مارس خود منتشر کرد تا تقریباً 80 آسیب‌پذیری امنیتی در طبیعت را برطرف کند. برای شروع، وصله‌های ویندوز 10 KB5023696 و KB5023697 مشکلات سیستمی و امنیتی را در ویندوز 10 نسخه‌های 22H2، 21H2، 21H1، 1809 و 1607 و همچنین Windows Server 2016 حل می‌کنند. این به‌روزرسانی‌ها به‌طور خودکار نصب نمی‌شوند و به‌صورت اختیاری نصب می‌شوند. به روز رسانی ویندوز (مگر اینکه نصب اصلاح شده یا قفل شده را اجرا کنید). ویندوز 10 1507 همچنین یک وصله کوچک به نام KB5023713 دریافت کرد که با وصله‌های امنیتی و همچنین لینک‌ها در اکسل به همان شیوه برخورد می‌کند.

مایکروسافت همچنین امروز اصلاحاتی را برای دو آسیب‌پذیری مهم روز صفر منتشر می‌کند که در اوایل آوریل 2022 به طور فعال مورد سوء استفاده قرار گرفتند. دو آسیب‌پذیری مورد سوء استفاده CVE-2023-23397 و CVE-2023-24880 هستند. CVE-2023-23397 یک حمله امتیاز بالا است که ایمیل های خاصی ایجاد می کند که می تواند دستگاه هدف را مجبور کند به URL های راه دور متصل شود و هش Net-NTLMv2 حساب ویندوز را منتقل کند. CVE-2023-24880 یک آسیب‌پذیری Windows SmartScreen است که می‌تواند برای ایجاد فایل‌های اجرایی که اخطار امنیتی Windows Mark of the Web را دور می‌زنند، مورد سوء استفاده قرار گیرد.

مایکروسافت موارد زیر را برای CVE-2023-23397 اعلام می کند:

“CVE-2023-23397 یک آسیب پذیری بحرانی EoP در Microsoft Outlook است که زمانی فعال می شود که یک مهاجم پیامی با ویژگی MAPI توسعه یافته با یک مسیر UNC به یک سهم SMB (TCP 445) روی سروری که توسط یک عامل مخرب کنترل می شود، ارسال می کند. تعامل کاربر مورد نیاز است. اتصال به سرور SMB راه دور، پیام دست دادن کاربر NTLM را ارسال می کند، سپس مهاجم می تواند آن را برای احراز هویت به سیستم های دیگری که از احراز هویت NTLM پشتیبانی می کنند، ارسال کند. می تواند ایمیل های ساخته شده مخصوص ارسال کند که باعث می شود قربانی به یک UNC خارجی متصل شود. مکان تحت کنترل مهاجمان، هش Net-NTLMv2 قربانی را در اختیار مهاجم قرار می دهد و سپس می تواند آن را به سرویس دیگری منتقل کند و به عنوان قربانی احراز هویت کند.

CVE-2023-23397 در ابتدا توسط CERT-UA (تیم واکنش اضطراری رایانه ای اوکراین) گزارش شد و توسط CERT-UA، Microsoft Incident و Microsoft Threat Intelligence فاش شد. در این افشاگری اخیراً آمده است:

«اطلاعات تهدیدات مایکروسافت ارزیابی می‌کند که یک عامل تهدید مستقر در روسیه از سوء استفاده وصله‌شده در CVE-2023-23397 در حملات هدفمند علیه تعداد محدودی از سازمان‌ها در بخش‌های دولتی، حمل‌ونقل، انرژی و نظامی در اروپا استفاده کرده است».

این گزارش همچنین بیان می‌کند که این نقص روی همه نسخه‌های Microsoft Outlook برای ویندوز تأثیر می‌گذارد، اما هیچ تأثیری بر Outlook برای Mac، iOS، Android یا Outlook در وب ندارد، زیرا سرویس‌های آنلاین از Microsoft Outlook برای ویندوز استفاده نمی‌کنند. احراز هویت NTLM. مایکروسافت اسکریپتی منتشر کرده است که به سازمان ها اجازه می دهد بررسی کنند که آیا هدف حمله قرار گرفته اند یا خیر.

مهاجمان فایل‌های MSI را با امضای نامعتبر اما به‌طور ویژه ساخته‌شده Authenticode تحویل می‌دهند. امضای نادرست باعث می‌شود که SmartScreen خطایی را برگرداند که باعث می‌شود کاربران از گفتگوی هشدار امنیتی که به کاربران نمایش داده می‌شود دور بزنند، زمانی که یک فایل غیرقابل اعتماد حاوی Mark-of-the-Web (MotW) است، که نشان می‌دهد یک فایل بالقوه مخرب از اینترنت دانلود شده است. . TAG بیش از 100000 دانلود فایل مخرب MSI را از ژانویه 2023 مشاهده کرده است که بیش از 80 درصد از آنها از کاربران در اروپا بوده است – یک تفاوت قابل توجه با هدف گیری معمولی Magniber که معمولاً روی کره جنوبی و تایوان متمرکز است. »

گزارش کامل کامل وصله های امنیتی لو رفته برای مارس 2023 در اینجا موجود است. واقعا خواندن سبک نیست.