روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مایکروسافت با پچ سهشنبهی[1] ماه آگستش بیش از صد آسیبپذیری را رفع کرد. برخی از این آسیبپذیریها از سوی کارمندان امنیت سایبری سازمانی نیازمند توجه بیشتری هستند. از میان آنها میتوان به 17 آسیبپذیری حیاتی اشاره کرد که دو مورد از آن روز صفر هستند. دستکم یک آسیبپذیری هنوز در محیط بیرون فعالانه در حال اکسپلویت است. بنابراین بهتر آن است که در بکارگیری پچها هیچ تأخیری نباشد. اینکه آژانس امنیت زیرساخت و امنیت سایبری آمریکا توصیه کرده است به این آپدیت توجه خاصی شود بیدلیل نیست. با ما همراه بمانید.
DogWalk (یا همان CVE-2022-34713)- آسیبپذیری RCE در MSDT
خطرناکترین آسیبپذیری در میان آسیبپذیریهای تازه بستهشده CVE-2022-34713 است. بطور بالقوه میتواند اجرای ریموت کد مخرب را موجب شود (متعلق به نوع RCE). CVE-2022-34713 معروف به DogWalk آسیبپذیریایست در MSDT[2] مانند فولینا[3] که ماه می همین سال حسابی قیل و قال به راه انداخت. مشکل این است که سیستم چطور آرشیوهای Cabinet (.cab) را مدیریت میکند. مهاجم به منظور اکسپویت آسیبپذیری نیاز دارد کاربر را طوری فریب دهد که مجاب شود فایل مخربی را که آرشیو .diagcab را در فولدر ویندوز استارتآپ ذخیره میکند باز کند تا محتواهای آن بارِ بعد که کاربر کامپیوتر خود را ریستارت میکند و لاگین را انجام میدهد اجرا شود. در واقع DogWalk دو سال پیش کشف شد اما آن زمان توسعهدهندگان سیستم به دلایلی به این مشکل توجه خاصی نکردند. اکنون این آسیبپذیری رفع شده اما مایکروسافت از پیش اکسپلویت شدن آن را شناسایی کرده است.
سایر آسیبپذیریها که باید مراقبشان بود
آسیبپذیری روز صفر دوم که در آخرین پچ سهشنبه بسته شد CVE-2022-30134 نام دارد. این آسیبپذیری در Microsoft Exchange خانه دارد. اطلاعات مربوط به آن پیش از اینکه مایکروسافت بتواند پچی را درست کند منتشر شد اما تا کنون این آسیبپذیری در محیط بیرون اکسپلویت نشده. به لحاظ تئوریک اگر مهاجمی قصد کند از CVE-2022-30134 استفاده کند میتواند مکاتبات ایمیل قربانی را بخواند. این تنها نقص در Exchange نیست که در پچ جدید رفع شده است. همچنین در این پچ آسیبپذیریهای CVE-2022-24516، CVE-2022-21980 و CVE-2022-24477 که به مهاجمین اجازه میدهند مزایای خود را ارتقا دهند نیز بسته شدند. در مورد رتبهبندی CVSS نیز همین دو آسیبپذیری مربوطه (منظور CVE-2022-30133 و CVE-2022-35744 است) سردمداران هستند. هر دو در PPP پیدا شدند[4]. هر دو همچنین به مهاجم اجازه میدهند تا به سرور دسترسی ریموت درخواستهایی را ارسال کنند که همین میتواند به اجرای کد مخرب روی دستگاه منجر شود. هر دو نیز امتیاز یکسان 9.8 را در CVSS دارند. برای آن دسته از کسانی که به دلایلی نمیتوانند فوراً پچها را نصب کنند، مایکروسافت توصیه میکند پورت 1723 بسته شود (آسیبپذیریها فقط از طریق این پورت میتوانند اکسپویت شوند). با این حال حواستان باشد که این ممکن است بر پایداری ارتباطات شبکهای شما اثر بگذارد.
راهکار امنیتی
توصیه ما این است که آپدیتهای جدید مایکروسافت را همان لحظه که منتشر میشوند نصب کنید و یادتان نرود همه اطلاعات را در بخش FAQs بررسی کنید؛ همینطور بخشهای Mitigations و Workarounds را. بخشهای مذکور در قسمت راهنمای آپدیت مربوط به زیرساخت شما قرار دارند. افزون بر این، باید همچنین توجه داشت که همه کامپیوترهای شرکت که به اینترنت متصل هستند (فرقی ندارد ایستگاه کاری هستند یا سرور) میبایست به راهکار امنیت سایبری مطمئنی مجهز باشند؛ راهکاری که قادر است از آنها در برابر اکسپلویت آسیبپذیریهای کشفنشده محافظت کند.
[1] patch Tuesday، به زمانی اشاره دارد که مایکروسافت، ادوبی، اوراکل و سایر شرکتها به صورت دورهای محصولات نرمافزاری خود را پچ میکند.
[2] Microsoft Windows Support Diagnostic Tool
[3] Follina
[4] Point-to-Point Protocol
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
