کمیته رکن چهارم – شرکت مایکروسافت اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد که شامل وصله ۱۱۵ آسیبپذیری میشود.
این اصلاحیهها در مجموع، ۱۱۵ آسیبپذیری را در سیستم عامل Windows و برخی دیگر از سرویسها و نرمافزارهای Microsoft ترمیم میکنند. درجه حساسیت ۲۴ مورد از آسیبپذیریهای ترمیم شده توسط اصلاحیههای مذکور “حیاتی” (Critical) و ۸۸ مورد “مهم” (Important) اعلام شده است. همچنین به ۳ مورد از باگهای ترمیم شده در این ماه درجه حساسیت “متوسط” (Moderate) تخصیص داده شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، یکی از نکات قابلتوجه در خصوص مجموعه اصلاحیههای ماه مارس، عدم عرضه اصلاحیه برای یک آسیبپذیری کرمگونه (Wormable) با شناسه CVE-۲۰۲۰-۰۷۹۶ در پودمان SMBv۳ است.
این در حالی است که برخی شرکتهای امنیتی از جمله Cisco و Fortinet با تصور ارائه اصلاحیه ضعف مذکور از سوی Microsoft در بامداد ۲۰ اسفند اقدام به انتشار جزییات CVE-۲۰۲۰-۰۷۹۶ کردند. البته Cisco پس از آگاهی از موضوع، جزییات مربوطه را در سایت خود از دسترس خارج کرد. بهرهجویی از CVE-۲۰۲۰-۰۷۹۶، سازمان را در معرض یک حمله مبتنی بر کرم قرار داده و بهسرعت شبکه را در اختیار مهاجمان قرار میدهد. کمتر از یک روز پس از پرداختن چندین شرکت امنیتی به CVE-۲۰۲۰-۰۷۹۶، شرکت Microsoft اقدام به انتشار توصیهنامهای کرد که در آن به نحوه غیرفعال کردن Compression در SMBv۳ بهعنوان راهکاری موقت پرداخته شده بود.
درنهایت این شرکت ۲۲ اسفندماه با تأخیری دو روزه، اصلاحیه CVE-۲۰۲۰-۰۷۹۶ را عرضه کرد. جزییات بیشتر در مورد اصلاحیه ارائه شده در این لینک زیر قابل دریافت است.
از دیگر موارد حائز اهمیت در مورد مجموعه اصلاحیههای این ماه، ترمیم ضعفی امنیتی با شناسه CVE-۲۰۲۰-۰۸۷۲ از نوع “اجرای کد بهصورت از راه دور” (Remote Code Execution) در Application Inspector است. Application Inspector یک ابزار تحلیلگر منبع کد (Source Code Analyzer) ساخت Microsoft است که بهصورت Open Source در دسترس کاربران قرار دارد. نسخه v۱,۰.۲۳ و نسخ قبل از آن این ابزار به CVE-۲۰۲۰-۰۸۷۲ آسیبپذیر گزارش شدهاند. بهرهجویی از این ضعف امنیتی مهاجم را قادر میسازد تا در هنگامی که تکه-کدهای (Snippet) مربوط به برنامه ثالت در Application Inspector در قالب HTML پردازش میشوند آنها را به یک سرور خارجی ارسال کند. با این حال بهرهجویی موفق از آسیبپذیری مذکور مستلزم اجرا شدن Application Inspector و فراخوانی کد منبعی است که شامل یک جزء (Component) ثالث مخرب است. اطلاعات بیشتر در این لینک در دسترس است.
همچنین در مجموعه اصلاحیههای ماه مارس مایکروسافت، دو آسیبپذیری زیر ترمیم شده که مهاجمان با بهرهجویی از آنها از طریق ساخت فایلهای LNK یا Word دستکاری شده قادر به اجرای خودکار کد مورد نظر خود بهمحض باز شدن آنها توسط کاربر میشوند.
CVE-۲۰۲۰-۰۶۸۴ – یک آسیبپذیری از نوع “اجرای کد بهصورت از راه دور” در فایلهای LNK است که به مهاجم امکان میدهد تا با ساخت فایلهای دستکاری شده LNK و متقاعد کردن قربانی به اجرای آن، کد مورد نظر خود را فراخوانی کند. ارسال هرزنامههای انبوه با پیوستهای LNK در آیندهای نزدیک میتواند نشانهای از ظهور یک نمونه اثباتگر (Proof-of-Concept) برای آن باشد.
CVE-۲۰۲۰-۰۸۵۲ – بهرهجویی از این آسیبپذیری از طریق ایجاد یک سند Word مخرب و ارسال آن به کاربر امکان اجرای کد بالقوه مخرب را همزمان باز شدن آن فایل برای مهاجم فراهم میکند. نگرانکنندهتر اینکه بهرهجویی از این آسیبپذیری در زمان نمایش محتوای فایل در Preview Pane نرمافزار Outlook نیز ممکن است.
منبع: مرکز مدیریت راهبردی افتا
