تهدیدها / هشدارهای امنیتی پادویش

اطلاعیه پادویش درباره نقص امنیتی مایکروسافت CVE-2023-36884

security

در به‌ روزرسانی‌های امنیتی ماه جولای ۲۰۲۳، مایکروسافت مجموعا ۱۳۲ نقص را برطرف کرد که بیشترین تعداد از آوریل ۲۰۲۲، شامل ۹ آسیب‌پذیری با شدت بحرانی و همچنین ۶ آسیب‌پذیری روز صفر بود.  این در حالی است که

آسیب‌پذیری روز صفر اجرای کد از راه دور Office and Windows HTML با شناسه CVE-2023-36884 در مایکروسافت آفیس و ویندوز که با استفاده از اسناد مایکروسافت آفیس ساخته شده خاص می‌تواند مورد سوء استفاده قرار گیرد، هنوز وصله‌ نشده است.  به طور کلی بهره‌برداری موفقیت‌آمیز از این باگ امنیتی منجر به اجرای کد راه دور بر روی دستگاه قربانی می‌شود.

به عبارت دیگر مهاجمان احراز هویت نشده می‌توانند از این  آسیب‌پذیری بدون وصله در حملات با پیچیدگی بالا و بدون نیاز به تعامل کاربر سوء استفاده کنند. بهره‌برداری موفقیت‌آمیز می‌تواند منجر به از دست دادن کامل محرمانگی، در دسترس بودن و یکپارچگی شود. علاوه بر این امکان دسترسی به اطلاعات حساس کاربر، غیرفعال‌سازی راهکارهای حفاظتی سیستم و ممانعت از دسترسی کاربر به سیستم در معرض خطر را برای مهاجمان فراهم می‌آورد.

جهت مطالعه جزئیات اصلاحیه‌های امنیتی مایکروسافت – جولای 2023، که پیش از این در سایت امن‌پرداز منتشر شده است، کلیک کنید.

بنابر گزارش‌های symantec enterprise و cyble تاکنون آسیب‌پذیری روز صفر یاد شده در حملاتی بسیار هدفمند علیه سازمان‌های بخش‌های دولتی و دفاعی در اروپا و آمریکای شمالی استفاده شده است.  و به گزارش تیم مایکروسافت Threat Intelligence: در حال حاضر عوامل تهدید گروه Storm-0978 از نوع RomCom و برخی باج افزارهای زیرزمینی نیز در حملاتی هدفمند، به طور فعال از این نقص سؤاستفاده می‌کنند.

مایکروسافت اعلام کرد که پس از تکمیل بررسی‌ها، به منظور محافظت از کاربران خود اقدامات مناسبی انجام خواهد داد که ممکن است شامل ارائه به روزرسانی امنیتی از طریق فرآیند انتشار ماهانه یا ارائه به روز رسانی امنیتی خارج از چرخه (out-of-cycle) با توجه به نیاز کاربر باشد.

 در پی سوا‌ل‌های کاربران در خصوص این آسیب‌پذیری روز صفر مایکروسافت، به اطلاع می‌رساند که پادویش نمونه‌های شناخته شده در دو گزارش enterprise و cyble را شناسایی و محافظت در برابر این تهدید را برای کاربران فراهم می‌کند.

همچنین به منظور مقابله با تهدیدات احتمالی و جهت حصول اطمینان از امنیت سیستم خود،‌ توصیه می‌شود ضمن نصب آنتی‌ویروس پادویش، بلافاصله اقدام‌های کاهشی توصیه شده مایکروسافت را انجام دهید. 

راهکارهای مقابله‌ای

در حالی که هم اکنون به‌روزرسانی امنیتی برای این نقص در دسترس نیست، بنابر توصیه مایکروسافت لازم است که اقدامات کاهشی (Mitigation) زیر تا زمان ارائه وصله انجام شوند:

✅ کاربران Microsoft Defender for Office و کسانی که از قانون (ASR) یا کاهش سطح حمله Block all Office applications from creating child processes“ استفاده می‌کنند، در برابر پیوست‌هایی که سعی در سوء استفاده از این آسیب‌پذیری دارند،‌ ایمن هستند.

✅ کاربرانی که از این حفاظت‌ها استفاده نمی‌کنند، می‌توانند نام برنامه‌های Excel.exe، Graph.exe، MSAccess.exe، MSPub.exe،‌ PowerPoint.exe، Visio.exe،‌ WinProj.exe،‌ WinWord.exe،‌ Wordpad.exe را به عنوان مقادیری از نوع REG_DWORD با data 1 به کلید رجیستری زیر اضافه کنند.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

مطالب مرتبط

Hamster Kombat

همستر کامبت از رویا تا واقعیت!

Microsoft Outlook

آسیب‌پذیری zero-click بحرانی در Microsoft Outlook

CVE-2024-30080: نفوذگران کنترل سیستم را با آسیب‌پذیری MSMQ به دست می‌آورند!