مایکروسافت سه روز صفر را در روز سه شنبه وصله ماه مه اصلاح می کند

سه روز صفر، از جمله روزی که به طور فعال در حال بهره برداری است و باید فوراً برطرف شود، در میان بیش از 70 آسیب پذیری است که توسط مایکروسافت در می 2022 رفع شده است. دراپ سه شنبه پچ.

به عنوان پیگیری شد CVE-2022-26925روز صفر مورد سوء استفاده، یک آسیب‌پذیری جعل سازمان امنیت محلی ویندوز (LSA) است که بر ویندوز 7 تا 10 و ویندوز سرور 2008 تا 2022 تأثیر می‌گذارد.

مایکروسافت در توصیه‌ای گفت: «یک مهاجم تأیید نشده می‌تواند روشی را در رابط LSARPC فراخوانی کند و کنترل‌کننده دامنه را وادار کند تا با استفاده از NTLM برای مهاجم تأیید اعتبار کند. این به‌روزرسانی امنیتی تلاش‌های اتصال ناشناس را در LSARPC شناسایی کرده و آن را غیرمجاز می‌کند.

داستین چیلدز از ابتکار روز صفر گفت که برای بهره برداری از CVE-2022-26925، “عامل تهدید باید در مسیر شبکه منطقی بین هدف و منبع درخواستی قرار گیرد، به عنوان مثال انسان در وسط، اما از آنجایی که این مورد به عنوان تحت حمله فعال فهرست شده است، کسی باید بفهمد که چگونه این اتفاق بیفتد.”

آزمایشگاه های همه جانبه مدیر تحقیقات تهدید، Kev Breen، افزود: «در حالی که مشاوره این را به عنوان یک CVSS 7.1 فهرست می‌کند، وقتی به عنوان بخشی از یک حمله NTLM استفاده می‌شود، امتیاز به 9.8 می‌رسد. در حالی که همه سرورها تحت تأثیر قرار می‌گیرند، کنترل‌کننده‌های دامنه باید در اولویت حفاظت قرار گیرند، زیرا پس از بهره‌برداری، دسترسی سطح بالایی به امتیازات، که اغلب به عنوان «کلیدهای پادشاهی» شناخته می‌شوند، فراهم می‌کند.

در کنار CVE-2022-26925، دو روز صفر دیگر در آخرین به روز رسانی CVE-2022-22713 در ویندوز Hyper-V و CVE-2022-29972 در درایو ODBC Simba Amazon Redshift Magnitude. هنوز مشخص نیست که هیچ کدام مورد بهره برداری قرار نگرفته باشند.

گرگ وایزمن، مدیر محصول اصلی در Rapid7، این روزهای صفر اضافی را شکست. او گفت: «CVE-2022-22713 یک آسیب‌پذیری انکار سرویس است که بر سرورهای Hyper-V که نسخه‌های نسبتاً جدید ویندوز (20H2 به بعد) را اجرا می‌کنند، تأثیر می‌گذارد.

CVE-2022-29972 یک RCE حیاتی است [remote code execution vulnerability] که بر درایور Amazon Redshift ODBC که توسط Self-hosted Integration Runtime مایکروسافت استفاده می‌شود، تأثیر می‌گذارد، یک عامل مشتری که منابع داده داخلی را قادر می‌سازد تا داده‌ها را با سرویس‌های ابری مانند Azure Data Factory و Azure Synapse Pipelines مبادله کنند.

وایزمن افزود: «این آسیب‌پذیری همچنین مایکروسافت را بر آن داشت تا اولین توصیه‌های مبتنی بر راهنمایی خود را در سال منتشر کند. ADV220001، نشان دهنده برنامه های آنها برای تقویت انزوای مستاجر در سرویس های ابری خود بدون ارائه جزئیات یا اقدامات خاصی است که باید توسط مشتریان انجام شود.”

در همین حال، آلن لیسکا از آینده ثبت شده برخی از آسیب‌پذیری‌های قابل توجه‌تر دیگری را که در آخرین پچ سه‌شنبه تایید شده، حداقل در شکل فعلی آن، قبل از راه اندازی برنامه ریزی شده Windows Autopatch.

CVE-2022-22012 و CVE-2022-29130 هر دو آسیب‌پذیری‌های اجرای کد از راه دور در سرویس LDAP مایکروسافت هستند. این آسیب‌پذیری‌ها هر دو توسط مایکروسافت Critical با امتیاز CVSS 9.8 برچسب‌گذاری شده‌اند.

این گفته مایکروسافت است هشدار می دهد در آن بولتن برای هر دو این آسیب‌پذیری تنها زمانی قابل سوءاستفاده است که خط مشی MaxReceiveBuffer LDAP روی مقداری بالاتر از مقدار پیش‌فرض تنظیم شده باشد. سیستم هایی با مقدار پیش فرض این خط مشی آسیب پذیر نخواهند بود. به نظر می‌رسد که تنظیم MaxReceiveBuffer روی مقداری بالاتر از مقدار پیش‌فرض، پیکربندی غیرمعمولی است، اما اگر سازمان شما این کار را انجام می‌دهد، باید برای وصله‌سازی اولویت بندی شود.

Liska ادامه داد: “CVE-2022-26937 یک آسیب پذیری اجرای کد از راه دور در سیستم فایل شبکه است. [NFS]. این یک آسیب‌پذیری جدی است که ویندوز سرور 2008 تا 2022 را تحت تأثیر قرار می‌دهد و توسط مایکروسافت با امتیاز CVSS 9.8 به عنوان Critical شناخته می‌شود. این آسیب‌پذیری فقط NFSV2 و NFSV3 را تحت تأثیر قرار می‌دهد و مایکروسافت دستورالعمل‌هایی را برای غیرفعال کردن این موارد درج کرده است. نسخه های NFS در بولتن. مایکروسافت سهولت بهره برداری از این آسیب پذیری را با عنوان “احتمال بیشتر بهره برداری” می نامد.

مانند CVE-2021-36942، یک آسیب‌پذیری مشابه، CVE-2021-26432 در آگوست 2021 منتشر شد. با توجه به شباهت‌های بین این آسیب‌پذیری‌ها و آسیب‌پذیری‌های آگوست 2021، همه ما می‌توانیم برای یک ماه می سخت آماده باشیم.