توصیه مایکروسافت به مدیران IT: این وصله ها را هر چه سریع تر نصب کنید

شرکت مایکروسافت از ادمین‌های شبکه خواسته تا وصله امنیتی مرتبط با PowerShell7 را نصب کنند تا دو نمونه آسیب‌پذیری را که به مهاجم امکان عبور از کنترل برنامه‌های ویندوز دیفندر (Windows Defender Application Control) و دسترسی به پسوردهای رمز نشده را می‌دهد، رفع کنند. مایکروسافت Powershell 7.0.8 و Powershell 7.1.5 را در ماه‌های سپتامبر و اکتبر منتشر کرد تا این نقایص امنیتی را در نسخه‌های PowerShell7 و PowerShell 7.1 مرتفع کند.

رمز‌های لو رفته و عبور از WDAC

WDAC برای محافظت از دستگاه‌های ویندوزی در مقابل هر نوع نرم‌افزار مخرب بالقوه‌ای طراحی شده که تضمین می‌کند تنها برنامه‌ها و درایور‌های قابل اعتماد قابلیت اجرا داشته باشند و در این صورت هر نوع نرم‌افزار ناخواسته و یا بدافزاری را از اجرا شدن در سیستم باز دارد. زمانی که لایه امنیتی نرم‌افزار محور WDAC در ویندوز فعال می‌شود، PowerShell به صورت خودکار به حالت محدود کردن زبان (constrained language mode) وارد می‌شود و دسترسی را به مجموعه محدودی از API‌‌های ویندوزی محدود می‌کند.

آسیب‌پذیری‌های معرفی شده

1. با بهره‌برداری از آسیب‌پذیری عبور از تجهیزات امنیتی در WDAC که با شناسه CVE-2020-0951 شناسایی می‌شود، عوامل تهدید می‌توانند لیست‌های مجاز WDAC را دور بزنند و این عمل به آنها امکان اجرای دستوراتی از PowerShell را می‌دهد که در صورت فعال بودن WDAC این دسترسی‌ها مسدود می‌شدند.
2. دومین آسیب‌پذیری نیز به نام CVE-2021-41335 می‌باشد که یک آسیب‌پذیری مرتبط با افشای اطلاعات در نرم‌افزار NET Core. می‌باشد و می‌تواند رمز‌های سیستمی را در قالب متونی رمز نشده از دستگاه‌هایی که از پلتفرم‌های غیر ویندوزی استفاده می‌کنند، نشت دهد.

نسخه‌های آسیب‌پذیر

آسیب‌پذیری CVE-2020-0951 بر نسخه‌های PowerShell 7 و PowerShell 7.1 اثر‌گذار است در حالی که آسیب‌پذیری CVE-2021-41335 تنها بر روی نسخه PowerShell 7.1 تأثیر می‌گذارد.

برای بررسی نسخه PowerShell که در حال حاضر روی سیستم در حال اجراست و فهمیدن این موضوع که آیا نسبت به حمله از طریق این دو باگ آسیب‌پذیر هستید یا خیر می‌توانید دستور $PSVersionTable را در قسمت Command Prompt ویندوز تایپ کنید.

به گفته مایکروسافت، در حال حاضر هیچ ابزاری برای کاهش و یا مسدود کردن سوء استفاده از این آسیب‌پذیری‌ها در دسترس نیست. بنابراین، به مدیران سازمان‌ها توصیه می‌شود که هرچه سریع‌تر به نسخه‌های PowerShell 7.0.8 و 7.1.5 به‌روز‌رسانی کنند. در ماه ژولای سال جاری میلادی، مایکروسافت آسیب‌پذیری دیگری با درجه خطر بسیار بالا معرفی کرد که مرتبط با اجرای کد از راه دور بر روی NET Core. بود. اخیراً نیز اعلام کرده است که به دنبال آسان‌سازی به‌روز‌رسانی PowerShell برای ویندوز ۱۰ و ویندوز سرور از طریق ارائه به‌روزرسانی‌های آتی در سرویس Microsoft Update است.