کمیته رکن چهارم – شرکت مایکروسافت دیروز بهروزرسانیهای امنیتی خود برای این ماه را منتشر کرد. در این بهروزرسانی ۱۹ آسیبپذیری حیاتی و مهم وصله شده که یکی از آنها پیش از وصله کردن بهطور عمومی افشاء شده بود. مجموع آسیبپذیریها ۵۴ مورد بوده که در ویندوز، مرورگر اِج، اینترنت اکسپلورر، آفیس و Exchange وصله شده است.
۳۲ آسیبپذیری درجهی اهمیت بالا داشتند و ۳ آسیبپذیری نیز متوسط محسوب میشدند. از جمله آسیبپذیریهای موجود و مهم میتوان به اجرای کد از راه دور، اسکریپت بین-وبگاهی و ارتقاء امتیاز اشاره کرد. ۶ مورد از آسیبپذیریهای حیاتی اجرای کد از راه دور بودند. یکی از این آسیبپذیریها مربوط به دستگاه شرکت مایکروسافت در زمینهی واقعیت مجازی با نام هولولنز بود.
در مشاورهنامهی مایکروسافت آمده است یکی از این آسیبپذیریها مربوط به نحوهی پردازش اشیاء در حافظه توسط هولولنز است که در اثر دریافت بستههای وایفای جعلی بهوجود میآید. این دستگاه میتواند با استفاده از بستههای جعلی و بسیار کم وایفای آلوده شود بدون اینکه نیازی به احراز هویت وجود داشته باشد. یکی دیگر از آسیبپذیریهای حیاتیِ اجرای کد از راه دور در ویژگی «جستجو از راه دور در ویندوز» وجود داشت. این ویژگی به کاربران اجازه میداد تا از روی چند رایانه بهطور همزمان جستجوی خود را انجام دهند. این آسیبپذیری توسط یک مهاجم از راه دور و بدون نیاز به احراز هویت، توسط پروتکل SMB قابل بهرهبرداری است.
به گفتهی مایکروسافت: «یک آسیبپذیریِ اجرای کد از راه دور در ویژگی «جستجوی ویندوز» زمانی که میخواهد اشیاء را در حافظه پردازش کند وجود دارد. شناسهی این آسیبپذیری CVE-۲۰۱۷-۸۵۸۹ است. مهاجمی که بتواند با موفقیت از این آسیبپذیری بهرهبرداری کند، میتواند کنترل کامل دستگاه را در دست بگیرد. مهاجم در ادامه نیز میتواند برنامههای دلخواه خود را بر روی ماشین آلوده نصب کرده، دادهها را مشاهده، ویرایش و حذف کند و یا اینکه یک حساب کاربری جدید با تمامی دسترسیها ایجاد کند.» این آسیبپذیری کارگزار ویندوز ۲۰۱۶، ۲۰۱۲ و ۲۰۰۸ و همچنین ویندوز ۱۰، ویندوز ۷ و ۸.۱ را تحت تأثیر قرار داده است. در مشاورهنامهی مایکروسافت میخوانیم: «هرچند این آسیبپذیری از پروتکل SMB بهعنوان بردار حمله استفاده میکند ولی یک آسیبپذیری در خود SMB نیست. همچنین این اشکال مربوط به آسیبپذیریهایی که اخیراً در SMB وجود داشت و توسط باجافزارها مورد بهرهبرداری قرار میگرفت، نیست.»
سومین آسیبپذیریِ حیاتی، خرابیِ حافظه در ماشین اسکریپت بود که در مرورگر اِج مایکروسافت وجود داشت. این آسیبپذیری با شناسهی CVE-۲۰۱۷-۸۵۹۵ به دلیل نحوهی پردازش اشیاء در حافظه وجود داشت و مهاجم با بهرهبرداری از آن به همان دسترسیهایی میرسید که به کاربر جاری اعطا شده است. به گزارش مایکروسافت: «در یک سناریوی حملهی مبتنی بر وب، مهاجم میتواند از یک وبگاه جعلی میزبانی کند. این وبگاه برای بهرهبرداری از آسیبپذیریِ موجود در مرورگر اِج طراحی شده است. مهاجم همچنین میتواند یک کنترل ActiveX را در برنامهی کاربردی یا یک سند مایکرسافت آفیس تعبیه کند تا ماشینِ راهاندازی مرورگر را میزبانی کنند.»
در مورد آسیبپذیریهایی که در مرورگرهای اِج و اینترنت اکسپلورر وجود دارد، با نوع جدیدی از آسیبپذیریها و حملات با عنوان «آسیبپذیری خرابی حافظه در موتور اسکریپت» مواجه هستیم. این حملات نشان میدهد که کلاس جدیدی از حملات با استفاده از جاوا اسکریپت بهوجود آمده که خطر اصلی آن در داخل ماشینهای اجرا وجود دارد. در حین بهروزرسانیهای روز سهشنبهی مایکروسافت، این شرکت از محققان امنیتی شرکت گوگل نیز تشکر و قدردانی کرد که دو مورد از آسیبپذیریهای حیاتی و یک آسیبپذیری با درجهی اهمیت بالا را کشف و گزارش کردهاند. دو آسیبپذیری که محققان گوگل کشف کردهاند، با شناسههای CVE-۲۰۱۷-۸۵۹۴ و CVE-۲۰۱۷-۸۵۹۸، اشکالات خرابی حافظه در مرورگر اِج هستند.
تعدادی از محققان نیز به دلیل کشف یک آسیبپذیری ارتقاء امتیاز که در مایکروسافت ویندوز وجود دارد، مورد تقدیر و تشکر قرار گرفتند. این آسیبپذیری زمانی بروز پیدا میکند که کربروس بخواهد از پروتکل احراز هویت NTLM بهعنوان پروتکل پیشفرض برای احراز هویت استفاده کند. NTLM یکی از راهکارهای امنیتی در ویندوز است که برای احراز هویت مورد استفاده قرار گرفته و توسط گروه سیاستگذاری در اکتیو دایرکتوری مدیریت میشود. بههمراه بهروزرسانیهای مایکروسافت، شرکت ادوبی نیز ۶ آسیبپذیری را در دو مورد از محصولات خود وصله کرده که در نوع خود، بولتن امنیتی بسیار کوچکی محسوب میشود.
