مایکروسافت ۳۲ آسیبپذیری را در مجموعه Azure Site Recovery برطرف کرده است که به مهاجمان اجازه دریافت دسترسی بالاتر یا اجرای کد از راه دور را میدهد.
سرویس Azure Site Recovery یک سرویس جلوگیری از فاجعه است که در صورت شناسایی مشکل، حجم کاری را به صورت خودکار به مکانهای ثانویه منتقل میکند.
در اصلاحیه امنیتی جولای ۲۰۲۲، مایکروسافت ۸۴ نقص را برطرف کرد که آسیبپذیری Azure Site Recovery بیش از یک سوم از اشکالات رفع شده را تشکیل میدهد.
از سی و دو آسیبپذیری رفع شده Azure Site Recovery، دو آسیبپذیری اجازه اجرای کد از راه دور را میدهند و سی آسیبپذیری دیگر، امکان افزایش دسترسی را فراهم میکنند. به گفته مایکروسافت، آسیبپذیریهای SQL enjection علت بیشتر باگهای افزایش سطح دسترسی بوده است.
با این حال، مایکروسافت بر روی یکی از این نقصها که با عنوان CVE-2022-33675 شناسایی میشود و ناشی از یک آسیبپذیری DLL hijacking است، توجه ویژهای دارد.
نقص DLL hijacking
نقص DLL hijacking با عنوان CVE-2022-33675 و درجه CVSS v3 : 7.8، توسط محققان Tenable کشف شد.
حملات DLL hijacking از آسیبپذیریهای ناشی از مجوز ناامن در پوشههایی که سیستمعامل ویندوز، DLLهای مورد نیاز را هنگام راهاندازی یک برنامه جستجو و بارگیری میکند، سوء استفاده میکنند.
مهاجم برای اجرای حمله، یک DLL سفارشی و مخرب را با نام یک DLL معمولی بارگذاری شده توسط برنامه Azure Site Recovery ایجاد میکند. این DLL مخرب در پوشهای ذخیره میشود که ویندوز آن را جستجو میکند و هنگام شروع برنامه، بارگیری و اجرا میشود.
طبق گفته Tenable، سرویس cxprocessserver ASR به طور پیشفرض با سطح دسترسی کاربر SYSTEM اجرا میشود و فایل اجرایی آن در مسیری قرار دارد که به اشتباه تنظیم شده است تا مجوزهای «نوشتن» را به هر کاربری بدهد. در نتیجه، این امکان برای کاربران عادی فراهم میشود تا DLLهای مخرب (ktmw32.dll) را در آن پوشه قرار دهند.
در نهایت، هنگامی که پردازه ‘cxprocessserver’ اجرا میشود، DLL مخرب را بارگیری میکند و هر یک از دستورات را با سطح دسترسی SYSTEM اجرا میکند.
DLL hijacking یک تکنیک کاملا قدیمی است که این روزها به ندرت با آن مواجه میشویم و در صورت مواجهه، به دلیل عدم عبور از مرزهای امنیتی، تأثیر آن اغلب کاملاً محدود است. اما در این مورد، عبور از مرزهای امنیتی و ارتقای کاربر به دسترسی SYSTEM، نشان دهنده روند رو به رشد تکنیکهای قدیمی برای یافتن فرصتی جدید در فضای پیچیده ابری است.
پیامدهای بالقوه
با به دست آوردن سطح دسترسی کاربر ادمین در سیستم هدف، مهاجم میتواند تنظیمات امنیتی سیستم عامل را تغییر دهد، تغییراتی در حسابهای کاربری ایجاد کند، بدون محدودیت به همه فایلهای روی سیستم دسترسی داشته باشد و نرمافزار اضافی نصب کند.
Tenable سناریوی حملات باج افزاری را برجسته میکند که در آن عاملان باج افزاری میتوانند از CVE-2022-33675 برای پاک کردن نسخههای پشتیبان و غیرممکن کردن بازیابی دادهها استفاده کنند. با این حال، این تنها یکی از سناریوهای محتمل است.
مایکروسافت با انتشار یک توصیهنامه، نمایی کلی از مشکلات رفع شده در ASR در این ماه ارائه کرد که در بخش تأثیرگذاری به SQL enjection و اجرای کد از راه دور اشاره میکند.
در این نوع حملات، پسورد ادمین برای ماشینهای مجازی (VM) مورد نیاز است. از این رو، CVE-2022-33675 نمیتواند به عنوان دریچهای برای گسترش دامنه حملات استفاده شود، اما زمینه را برای به دست آوردن پسورد مورد نیاز در سیستم هدف فراهم میکند.
راهکارها
برای رفع تمامی مشکلات امنیتی، حتماً بهروزرسانیهای ماه جولای مایکروسافت را اعمال کنید. آن دسته از افرادی که قادر به اعمال وصلهها نیستند، میتوانند با تغییر دستی تنظیمات مجوز نوشتن در پوشهای که تحت تأثیر قرار خواهد داد، احتمال خطر را کاهش دهند.
