مایکروسافت وصله های امنیتی این ماه خود را منتشر کرد و 132 آسیب پذیری شامل 6 آسیب پذیری با اکسپلویت فعال و 37 آسیب پذیری اجرای کد از راه دور (RCE) را رفع نموده است.
با اینکه در این بین 37 آسیب پذیری RCE وجود داشته اما مایکروسافت تنها 9 مورد از آنها را “حیاتی” برشمرده است. یک آسیب پذیری RCE وصله نشده نیز باقی مانده است که در حملات نیز مورد بهره برداری قرار گرفته است.
لیست آسیب پذیری ها در هر دسته به صورت زیر است:
- 33 Elevation of Privilege Vulnerabilities
- 13 Security Feature Bypass Vulnerabilities
- 37 Remote Code Execution Vulnerabilities
- 19 Information Disclosure Vulnerabilities
- 22 Denial of Service Vulnerabilities
- 7 Spoofing Vulnerabilities
مایکروسافت هیج وصله ای برای آسیب پذیری های Edge در این ماه منتشر نکرده است.
آسیب پذیری ها با اکسپلویت فعال
در لیست این ماه مایکروسافت 6 آسیب پذیری Zero-day وجود دارد که همه این آسیب پذیری ها در حملات مورد بهره برداری قرار گرده و یکی از آنها نیز به صورت عمومی افشا شده است.
این آسیب پذیری ها به شرح زیر می باشند:
CVE-2023-32046 – Windows MSHTML Platform Elevation of Privilege Vulnerability
مایکروسافت یک آسیب پذیری ارتقا مجوز و دسترسی که به صورت فعال اکسپلویت شده است در Windows MSHTML را وصله نموده که با باز کردن فایل های جعلی خاص از طریق ایمیل یا وبسایت های مخرب، مورد بهره برداری قرار می گیرد.
به گفته مایکروسافت مهاجم مجوزهای کاربری که اپلیکیشن آلوده را اجرا می کند به دست می آورد. این آسیب پذیری توسط Microsoft Threat Intelligence Center شناسایی شده است.
CVE-2023-32049 – Windows SmartScreen Security Feature Bypass Vulnerability
مهاجمان سایبری از این آسیب پذیری برای جلوگیری از نمایش Open File- یک هشدار امنیتی زمانی که میخواهیم فایلی را از اینترنت دانلود یا باز کنیم- استفاده می کند. این آسیب پذیری نیز توسط Microsoft Threat Intelligence Center کشف شده است.
CVE-2023-36874 – Windows Error Reporting Service Elevation of Privilege Vulnerability
این آسیب پذیری که به صورت فعال نیز برای ارتقا سطح دسترسی بهره برداری شده به مهاجمین امکان دستیابی به مجوزهای سطح مدیریتی در ویندوز را میدهد.
به گفته مایکروسافت یک مهاجم باید دسترسی محلی به ماشین هدف داشته باشد و کاربر باید امکان ایجاد فولدر و اجرای traces در سیستم را همراه با امتیازات محدود یک کاربر عادی داشته باشد. این آسیب پذیری توسط گروه Google Threat Analysis کشف شده است.
CVE-2023-36884 – Office and Windows HTML Remote Code Execution Vulnerability
مایکروسافت دستورالعمل هایی را در مورد آسیب پذیری وصله نشده که به صورت عمومی نیز افشا شده، در آفیس و آسیب پذیری ویندوز Zero-day منتشر کرده است که امکان اجرای کد از راه دور با استفاده از اسناد آفیس را میدهد.
به گزارش مایکروسافت یک مهاجم می تواند اسناد آفیس جعلی ای ایجاد کرده و امکان کد از راه دور در سیستم قربانی را داشته باشد. در واقع مهاجم باید تلاش کند تا قربانی نسبت به باز کردن فایل مخرب ترقیب شود. پس از تکمیل بررسی ها مایکروسافت اقدامات مناسب برای حفاظت از کاربران خود را ارائه خواهد کرد که می تواند وصله امنیتی همراه با به روز رسانی های ماهیانه باشد یا انتشار وصله ای به صورت اضطراری و خارج از نوبت برای آن باشد.
مایکروسافت اعلام کرد که این آسیب پذیری توسط گروه هکری RomCom در حملات باج افزاری و جاسوسی اخیرشان مورد بهره برداری قرار گرفته است. تا زمانی که هنوز آپدیت امنیتی ای برای این آسیب پذیری منتشر نشده، مایکروسافت توصیه نموده کاربرانی که از windows defender استفاده می کنند، برای Office تمامی اپلیکیشن های آن را در برابر فرآیندهای Creating Child مسدود کنند.
برای آن دسته کاربرانی که از این قابلیت استفاده نمی کنند نیز توصیه شده که نام اپلیکیشن های زیر را در مسیر
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\InternetExplorer\Main\
FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
اضافه کرده و مقدار کلید رجیستری در REG_DWORD مساوی 1 باشد.
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
این حفره امنیتی توسط تیم های Microsoft Threat Intelligence، TAG و Microsoft Office Product Group Security شناسایی شده است.
ADV230001 – Guidance on Microsoft Signed Drivers Being Used Maliciously
مایکروسافت گواهی های امضای کد و حسابهای کاربری توسعه دهنده که از حفره موجود در پالیسی ویندوز برای نصب درایورهای Kernel-mode استفاده می کنند را باطل کرده است.
طبق گزارش مایکروسافت تمامی اکانتهای تخصیص داده شده توسعه دهنده، مسدود شده و مجوزهای مورد سوءاستفاده قرار گرفته، لغو شده اند.
CVE-2023-35311 – Microsoft Outlook Security Feature Bypass Vulnerability
مایکروسافت یک آسیب پذیری Zero-day موجود در Outlook را نیز رفع نموده که به صورت فعال اکسپلویت شده و هشدارهای امنیتی را دور زده و در صفحه پیش نمایش کار می کند.
آپدیت های اخیر سایر شرکت ها
- AMD releases Adrenalin 23.7.1 WHQL driver for Windows
- Apple released Rapid Security Response (RSR) updates to fix an actively exploited WebKit vulnerability. However, Apple soon pulled the update after it broke sites using user agent matching, which changed in the update.
- Cisco released security updates for Cisco DUO, Webex, Secure Email Gateway, Cisco Nexus 9000 Series Fabric Switches, and more.
- Google released the Android July 2023 updates to fix actively exploited vulnerabilities.
- A Linux vulnerability known as ‘StackRot‘ allows privilege escalation.
- Microsoft released the July Windows Subsystem for Android updates.
- MOVEit released security updates that fixes a critical-severity SQL injection bug and two other less severe vulnerabilities.
- SAP has released its July 2023 Patch Day updates.
- VMware released VMware SD-WAN updates to fix an authentication bypass vulnerability.