رفع ده‌ها باگ در Azure Site Recovery 

مایکروسافت ۳۲ آسیب‌پذیری را در مجموعه Azure Site Recovery برطرف کرده است که به مهاجمان اجازه دریافت دسترسی بالاتر یا اجرای کد از راه دور را می‌دهد.

سرویس Azure Site Recovery یک سرویس جلوگیری از فاجعه است که در صورت شناسایی مشکل، حجم کاری را به صورت خودکار به مکان‌های ثانویه منتقل می‌کند.

در اصلاحیه امنیتی جولای ۲۰۲۲، مایکروسافت ۸۴ نقص را برطرف کرد که آسیب‌پذیری Azure Site Recovery بیش از یک سوم از اشکالات رفع شده را تشکیل می‌دهد.

از سی و دو آسیب‌پذیری رفع شده Azure Site Recovery، دو آسیب‌پذیری اجازه اجرای کد از راه دور را می‌دهند و سی آسیب‌پذیری دیگر، امکان افزایش دسترسی‌ را فراهم می‌کنند. به گفته مایکروسافت، آسیب‌پذیری‌های SQL enjection علت بیشتر باگ‌های افزایش امتیاز بوده است.

با این حال، مایکروسافت بر روی یکی از این نقص‌ها که با عنوان CVE-2022-33675 شناسایی می‌شود و ناشی از یک آسیب‌پذیری DLL hijacking  است، توجه ویژه‌ای دارد.

نقص DLL hijacking

نقص DLL hijacking با عنوان CVE-2022-33675 و درجه CVSS v3 : 7.8، توسط محققان Tenable کشف شد.

حملات DLL hijacking از آسیب‌پذیری‌های ناشی از مجوز ناامن در پوشه‌هایی که سیستم‌عامل ویندوز، DLL‌های مورد نیاز را هنگام راه‌اندازی یک برنامه جستجو و بارگیری می‌کند، سوء استفاده می‌کنند.

مهاجم برای اجرای حمله، یک DLL سفارشی و مخرب را با نام یک DLL معمولی بارگذاری شده توسط برنامه Azure Site Recovery ایجاد می‌کند. این DLL مخرب در پوشه‌ای ذخیره می‌شود که ویندوز آن را جستجو می‌کند و هنگام شروع برنامه، بارگیری و اجرا می‌شود.

طبق گفته Tenable، سرویس cxprocessserver ASR به طور پیش‌فرض با امتیازات سطح SYSTEM اجرا می‌شود و فایل اجرایی آن در مسیری قرار دارد که به اشتباه تنظیم شده است تا مجوزهای «نوشتن» را به هر کاربری بدهد. در نتیجه، این امکان برای کاربران عادی فراهم می‌شود تا DLL‌های مخرب (ktmw32.dll) را در آن پوشه قرار دهند.

در نهایت، هنگامی که پردازه ‘cxprocessserver’ اجرا می‌شود، DLL مخرب را بارگیری می‌کند و هر یک از دستورات را با امتیازات SYSTEM اجرا می‌کند.

DLL hijacking یک تکنیک کاملا قدیمی است که این روزها به ندرت با آن مواجه می‌شویم و در صورت مواجهه، به دلیل عدم عبور از مرزهای امنیتی، تأثیر آن اغلب کاملاً محدود است. اما در این مورد، عبور از مرزهای امنیتی و ارتقای کاربر به دسترسی SYSTEM، نشان دهنده روند رو به رشد تکنیک‌های قدیمی برای یافتن فرصتی جدید در فضای پیچیده ابری است.

پیامدهای بالقوه

با به دست آوردن امتیازات سطح ادمین در سیستم هدف، مهاجم می‌تواند تنظیمات امنیتی سیستم عامل را تغییر دهد، تغییراتی در حساب‌های کاربری ایجاد کند، بدون محدودیت به همه فایل‌های روی سیستم دسترسی داشته باشد و نرم‌افزار اضافی نصب کند.

با توجه به کاربرد بالای ASR در محیط‌های سازمانی که به برنامه‌ها و سرویس‌های ابری بدون وقفه متکی هستند، به عنوان یک نقطه ضعف مهم در نفوذ به شبکه عمل می‌کند.

Tenable سناریوی حملات باج افزاری را برجسته می‌کند که در آن عاملان باج افزاری می‌توانند از CVE-2022-33675 برای پاک کردن نسخه‌های پشتیبان و غیرممکن کردن بازیابی داده‌ها استفاده کنند. با این حال، این تنها یکی از  سناریوهای محتمل است.

مایکروسافت با انتشار یک توصیه‌‌نامه، نمایی کلی از مشکلات رفع شده در ASR در این ماه ارائه کرد که در بخش تأثیرگذاری به SQL enjection و اجرای کد از راه دور اشاره می‌کند.

در این نوع حملات، پسورد ادمین برای ماشین‌های مجازی (VM) مورد نیاز است. از این رو، CVE-2022-33675 نمی‌تواند به عنوان دریچه‌ای برای گسترش دامنه حملات استفاده شود، اما زمینه را برای به دست آوردن پسورد مورد نیاز در سیستم هدف فراهم می‌کند.

راهکارها

برای رفع تمامی مشکلات امنیتی، حتماً به‌روزرسانی‌های ماه جولای مایکروسافت را اعمال کنید. آن دسته از افرادی که قادر به اعمال وصله‌ها نیستند، می‌توانند با تغییر دستی تنظیمات مجوز نوشتن در پوشه‌ای که تحت تأثیر قرار خواهد داد، احتمال خطر را کاهش دهند.