روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ پچ سه‌شنبه‌ی مایکروسافت در ماه نوامبر، 89 آسیب‌پذیری را در محصولات این شرکت رفع کرد- دو آسیب‌پذیری هنوز بطور فعالانه در حال اکسپلویت شدن هستند. یکی از آن‌ها که شناسه CVE-2024-43451 را بدان دادیم به طور خاصی هشداردهنده و خطرناک است. این آسیب‌پذیری به مهاجمین اجازه می‌دهد به هش NTLMv2 دسترسی پیدا کنند. گرچه امتیازدهی  CVSS 3.1 قابل‌توجهی ندارد (6.5 / 6.0) اما اکسپلویت کردنش نیازمند اقل تعامل از سمت کاربر است و به لطف موتور  MSHTML–میراث اینترنت اکسپلورر که شاید تئوریک دی‌اکتیو شده و از آن استفاده نمی‌شود- وجود دارد. با این وجود، همه نسخه‌های فعلی ویندوز تحت‌الشعاع این آسیب‌پذیری قرار دارند.

چرا CVE-2024-43451 خطرناک است؟

CVE-2024-43451 به مهاجمین اجازه می‌دهد فایلی بسازند که به محض رسیدن به کامپیوتر قربانی به مهاجم امکان سرقت هش NTLMv2 را می‌دهد. NTLMv2 یک پروتکل احراز شبکه است که در محیط‌های ویندوز مایکروسافت استفاده می‌شود. مهاجم با دسترسی به هش NTLMv2 می‌تواند حمله «عبور از هش» را اجرا کرده و با کاربر قانونی جا زدن خودش، شبکه را احراز کند (بدون اینکه اطلاعات محرمانه واقعی را در اختیار داشته باشد). البته که CVE-2024-43451 به تنهایی برای یک حمله تمام عیار کافی نیست - مجرمان سایبری مجبور می‌شوند سایر آسیب‌پذیری‌ها را هم استفاده کنند- اما هش  NTLMv2 فرد دیگر، کار مهاجم را به مراتب ساده‌تر می‌کند. در این نقطه زمانی، در مورد سناریوهایی که در عمل از CVE-2024-43451 استفاده کردند اطلاعاتی نداریم اما شرحی که از این آسیب‌پذیری داریم واضحاً نشان می‌دهد این آسیب‌پذیری به طور عمومی نمایش داده شده و موارد اکسپویت هم در محیط بیرون کشف شده است.

«اقل تعامل» یعنی چه؟

به طور عمومی اینگونه فرض می‌شود که اگر کاربری فایل مخربی را باز نکند هیچ اتفاق بدی برایش نمی‌افتد. در این مورد اما قضیه فرق دارد. طبق بخش پرسش‌های متداول در راهنمای آپدیت امنیت در خصوص CVE-2024-43451، اکسپلویت می‌تواند حتی وقتی کاربر فایل را با یک تک کلیک روی سمت چپ انتخاب کرده، آن را وارسی کرده (با راست کلیک) یا به غیر از باز یا اجرا کردنش فعالیت دیگری را اجرا می‌کند رخ دهد.

چه آسیب‌پذیری‌های دیگری توسط مایکروسافت در پچ ماه نوامبر بسته شدند؟

آسیب‌پذیری دوم که همین الان هم دارد در حملات واقعی اکسپلویت می‌شود CVE-2024-49039 است. این به مهاجمین اجازه می‌دهد از محیط AppContainer فرار کرده و در نتیجه مزیت‌های خود را در سطح «یکپارچگی متوسط» ارتقا دهند. افزون بر این، دو حفره دیگر هم هست که این شرکت می‌گوید فاش شدند؛ هرچند هنوز در حملات واقعی نمونه آن‌ها پیدا نشده. اینها عبارتند از CVE-2024-49019 در سرویس گواهی اکتیو دایرکتوری که همچنین به مهاجم اجازه می‌دهد تا مزیت‌ها را ارتقا دهد و CVE-2024-49040 در برنامه اکسچینج که به لطف آن، ایمیل‌های مخرب می‌توانند با آدرس فیک فرستنده نمایش داده شوند. علاوه بر این، آسیب‌پذیری حیاتی CVE-2024-43639 که اجرای کد دلخواه را در Kerberos میسر می‌کند به نظر خطرناک می‌آید؛ هرچند فقط روی سرورهایی اثر می‌گذارد که به عنوان پروتکل پروکسی KDC[1] کانفیگ شدند.

راهکار امنیتی

برای امن ماندن، ابتدا توصیه می‌کنیم آپدیت‌های نرم‌افزارهای حیاتی را فوراً نصب کنید (اینها البته که شامل آپدیت سیستم‌عامل هم می‌شوند). همچنین شایان ذکر است که بیشتر حملاتی که از آسیب‌پذیری‌های نرم‌افزاری سوءاستفاده می‌کنند از طریق ایمیل، کلید می‌خورند. از این رو باید همه دستگاه‌هایتان به راهکار امنیتی مطمئن مجهز باشند و همچنین یادتان نرود در سطح دروازه ایمیل، محافظت‌ها را اعمال کنید.

[1]  Kerberos Key Distribution Center

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.