روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مجموعه پچ ماه جولای مایکروسافت کاملاً غافلگیرکننده بود: این شرکت دوباره دارد اینترنت اکسپلور در گور آرمیده را زنده می‌کند و این درحالیست که هر شش آسیب‌پذیری آن هنوز فعالانه در حال اکسپلویت شدن هستند. دو آسیب‌پذیری از این شش عدد بسته شدند اما نه با پچ که با دو توصیه. آمار دقیق اینطور نشان می‌دهد که: 132 نقص بسته شدند که 9 نقص از بین آن‌ها «حیاتی» اعلام شدند. اکسپلویت 37 آسیب‌پذیری می‌تواند به اجرای کد دلخواه، 33 آسیب‌پذیری به ارتقای امتیاز، 13 آسیب‌پذیری به دور زدن لایه‌های امنیتی و 22 آسیب‌پذیری احتمالاً به رد سرویس منجر شود.

چرا مایکروسافت نمی‌گذارد IE یک بار برای همیشه دفن شود؟

همین چند وقت پیش در مقاله‌ای توضیح دادیم اینترنت اکسپلورر مرده اما نه کاملِ کامل! مشخصاً در مورد توصیه مایکروسافت در مورد ادامه نصب آپدیت‌های امنیتی مربوط به IE گفتیم زیرا برخی از اجزای آن هنوز در سیستم هستند. و حالا کامل واضح است چرا مایکروسافت چنین توصیه‌ای را به کاربران کرده بود. پچ جولای سه آسیب‌پذیری را در  MSHTML–موتور داخل این موتور افسانه‌ای- بست. در شرحیات  CVE مایکروسافت می‌گوید:

گرچه مایکروسافت بازنشستگی اینترنت اکسپلورر 11 را روی برخی پلت‌فرم‌ها اعلام کرده است اما MSHTML، EdgeHTML و پلت‌فرم‌های اسکریپت‌نویسی هنوز توسط آن پشتیبانی می‌شوند. پلت‌فرم MSHTML در مایکروسافت اج توسط و سایر اپ‌ها از طریق کنترل WebBrowser در حالت اینترنت اکسپلورر استفاده می‌شوند. پلت‌فرم EdgeHTML نیز توسط WebView و برخی اپ‌های UWP استفاده می‌شود. پلت‌فرم‌های اسکریپت‌نویسی نیز توسط MSHTML و EdgeHTML استفاده می‌شوند اما همچنین می‌توانند با سایر اپ‌ها نیز کار کنند. بروزرسانی‌هایی جهت رفع آسیب‌پذیری‌های پلت‌فرم MSHTML و موتور اسکریپت‌نویسی در آپدیت‌های تجمیعی IE گنجانده شده است؛ تغییرات EdgeHTML و  Chakra روی این پلت‌فرم‌ها کار نخواهند کرد. برای محافظت تمام‌عیار توصیه می‌کنیم مشتریانی که آپدیت‌های  Security Only را نصب می‌کنند همچنین به روزرسانی‌های تجمیعی IE را نیز دریافت کنند.

خطرناک‌ترین آسیب‌پذیری تازه کشف‌شده در اینترنت اکسپلور CVE-2023-32046 است و همین الانش در حملات به کار می‌رود. اکسپلویت موفق آن به مجرمان سایبری اجازه داده تا مزایای خود را به نسبت قربانی بالاتر ببرند. سناریوهای حمله شامل ایجاد فایل مخرب می‌شود که با میل ارسال یا روی وبسایت دستکاری‌شده میزبانی می‌شود. همه کاری که مهاجمین باید بکنند این است که کاربر را مجاب کنند به دنبال کردن لینک و باز کردن فایل. دو آسیب‌پذیری باقیمانده یعنی CVE-2023-35308 و  CVE-2023-35336 می‌توانند برای دور زدن قابلیت‌های امنیتی استفاده شوند. اولی به مجرم اجازه می‌دهد فایلی درست کند که مکانیزم  Mark-of-the-Web را دور می‌زند تا فایل را بشود با اپ‌های مایکروسافت آفیس بدون حالت Protected View باز کرد. و دو حفره امنیتی را همچنین می‌شود برای فریب کاربر برای دسترسی به یوآرال در محدوده اینترنت محدودتر از آنچه در نظر گرفته شده استفاده نمود.

توصیه به جای پچ

دو آسیب‌پذیری دیگر نیز دارند فعالانه اکسپلویت می‌شوند به جای ارائه‌ی پچ‌های تمام عیار فقط توصیه‌های امنیتی در موردشان منتشر می‌شود. اولی CVE-2023-36884 است که در امتیازبندی CVSS رتبه 8.3 را گرفته و دارد در حملات Storm-0978/RomCom RCE هم روی آفیس و هم ویندوز اکسپلویت می‌شوند. برای مصون ماندن از این حملات مایکروسافت فقط توصیه کرده همه قابل‌اجراهای آفیسی را به فهرست FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION اضافه کنند. مشکل حل‌نشده‌ی دومی هم مربوط می‌شود به امضای درایورهای سطح کرنل. این یکی شاخص CVE ندارد اما فقط در موردش توصیه‌های امنیتی شده. مایکروسافت تعدادی از مدارک توسعه‌دهنده‌ها را که در حملات APT استفاده شدند باطل کرده و چندین درایور مخرب را نیز بلاک اما هوز ریشه این مشکل خشک نشده است. هکرها هنوز دارند درایورها را با مدارک مایکروسافتی امضا می‌کنند یا این امضا حتی با تاریخ گذشته انجام می‌شود که به عنوان یکی از استثناها عمل کند و دیگر نیازی هم به امضای پورتال توسعه‌دهنده مایکروسافتی نباشد. و در برابر همه این آفات، مایکروسافت فقط توصیه کرده هم ویندوز  وهم EDR به روز نگه‌ داشته شوند! تنها دلخوشی کوچک این است که برای سوء استفاده از چنین درایورهایی، مهاجم باید از امتیازات مدیر برخوردار باشد.

باقیِ آسیب‌پذیری‌های اکسپلویت‌شده‌ی

 علاوه بر آسیب‌پذیری‌های فوق‌الذکر سه حفره دیگر هم هنوز دارند توسط مهاجمین اکسپلویت می‌شود:

 CVE-2023-32049: قابلیت امنیتی SmartScreen این آسیب‌پذیری را اکسپلویت می‌کند. اکسپلویت آن باعث می‌شود مهاجم فایلی درست کند که بدون نمایش هشدار ویندوز «دانلود شده از اینترنت» باز می‌شود.

CVE-2023-36874  : آسیب‌پذیری افزایش امتیاز در سرویس گزارش خطای ویندوز به مهاجمین اجازه می‌دهد چنانچه از قبل مجوزهای معمولی برای ایجاد فولدرها و فایل‌های نظارت بر عملکرد فنی داشته باشند، امتیازات را افزایش دهند.

CVE-2023-35311  : آسیب‌پذیری دور زدن ویژگی امنیتی در Outlook.اکسپلویت آن به مجرمان سایبری کمک می‌کند از نشان دادن هشدارها هنگام استفاده از پیش نمایش اجتناب کنند.

راهکار امنیتی

برای امن نگه داشتن منابع سازمانی، توصیه ما این است که هر چه سریعتر پچ‌های امنیتی را نصب کرده و نیز از همه کامپیوترها و سرورهایی که از راهکارهای مدرن استفاده می‌کنند (راهکارهایی که می‌توانند اکسپلویت هم آسیب‌پذیری‌های شناخته‌شده و هم ناشناخته را تشخیص دهند) محافظت نمایید. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.