بررسی Patch Tuesday مایکروسافت برای ژوئن 2022 (خرداد 1401)

زمان مطالعه: 3 دقیقه

مایکروسافت طبق روال هر ماه ، این ماه هم Patch Tuesday رو ارائه داد، در این بروزرسانی بطور کلی 55 نقص اصلاح شد.

در آپدیت امروز طبقه بندی آسیب پذیری ها به شرح زیر هستش :

• آسیب پذیری افزایش سطح دسترسی : 12
• دور زدن ویژگی های امنیتی : 1
• اجرای کد از راه دور : 27
• افشای اطلاعات : 11
• منع سرویس : 3
• جعل : 1

برخی از آسیب پذیریهای مهمی که در این بروزرسانی اصلاح شدند :

• یکی از آسیب پذیری هایی که در این بروزرسانی اصلاح شده و خیلی سر و صدا کرده بود ، آسیب پذیری Follina MSDT بود که با شناسه CVE-2022-30190 شناخته می شد. برای این آسیب پذیری اکسپلویتی هم منتشر شد و برخی بازیگران تهدید با استفاده از حملات فیشینگ و انتشار QBot با استفاده از این آسیب پذیری سازمانهایی رو در آمریکا و اکراین هدف قرار دادن.
• اما جدی ترین آسیب پذیری ، مربوطه به آسیب پذیری اجرای کد از راه دور در سرویس Network File System (نسخه NFSv4.1 ) بود که با شناسه CVE-2022-30136 شناخته می شد و دارای شدت 9.8 بود. برای این آسیب پذیری مایکروسافت اعلام کرده بود که این نسخه از NFS را غیر فعال نمایند.
• برای آسیب پذیری با شناسه CVE-2022-30157 در سرور SharePoint که منجر به اجرای کد توسط مهاجمین می شد هم در این بروزرسانی پچ اومده. در این آسیب پذیری مهاجم با احراز هویت و داشتن امتیاز ایجاد صفحه می تونه با ایجاد صفحه مخرب ، اقدام به اجرای کد بکنه . شدت این آسیب پذیری هم 8.8 اعلام شده بود .
• دو آسیب‌پذیری با شدت بالا ، CVE-2022-30153 و CVE-2022-30161، در پروتکل LDAP هم پچ شدن. این آسیب پذیری ها امکان اجرای کد از راه دور رو فراهم میکنن. یک مهاجم میتونست با فریب قربانی احراز هویت شده در شبکه هدف، از این آسیب‌پذیری‌ها سوء استفاده بکنه تا با یک کلاینت LDAP در دستگاه قربانی به یک سرور LDAP مخرب متصل بشه. بعدش، اونا با ایجاد پاسخ های خاص و ارسال اون به قربانی آسیب‌پذیری رو اکسپلویت بکنه و امکان اجرای کد دلخواه در داخل برنامه کلاینتLDAP قربانی رو برا خودش فراهم بکنه.
• یکی دیگر از آسیب‌پذیری‌های با شدت بالا در پروتکل LDAP، با شناسه CVE-2022-30141، برای کاربرانیه که مقدار MaxReceiveBuffer در LDAP بیشتر از مقدار پیش‌فرض براشون تعیین شده باشه. مهاجم برای اکسپلویت این آسیب‌پذیری به ایجاد شرایطی در محیط قربانی نیاز داره، اما اکسپلویت موفقیت‌آمیز منجر به اجرای کد با امتیاز SYSTEM میشه.
• دو آسیب پذیری با شدت بالا هم در Kerberos پچ شده. یکی، CVE-2022-30165، یک آسیب‌پذیری افزایش امتیاز که در سرورهای ویندوزی که با ویژگی‌های Remote Credential Guard (RCG) و Credential Security Provider Service Provider (CredSSP) فعال شده باشند، تأثیر میذاره. یک مهاجم احراز هویت نشده با اکسپلویت این آسیب پذیری، میتونه افزایش امتیاز بکنه و سپس زمانی که یک اتصال RCG از طریق CredSSP در شبکه برقرار میشه، فرآیند ورود Kerberos را جعل کنه. مورد دیگه، CVE-2022-30164، یه آسیب پذیری دور زدن ویژگی Kerberos AppContainer Security است که در اون یه مهاجم با امتیاز پایین می تونه یه اسکریپت مخرب رو در یه Application Container اجرا کنه تا یه service ticket درخواست کنه و امتیاز سرویس رو افزایش بده، که منجر به اجرای کد یا دسترسی به منابع در سطح بالاتر از محیط اجرایی Application Container میشه.
• یک آسیب پذیری هم در Hyper-V با شدت بالا و شناسه CVE-2022-30163 پچ شده که میتونه منجر به اجرای کد از راه دور بشه. یک مهاجم برای اکسپلویت این آسیب پذیری نیاز به اجرای یک برنامه ویژه ساخته شده روی Hyper-V guest داره. یک حمله موفقیت آمیز به مهاجم اجازه میده تا از مرز امنیتی Hyper-V guest عبور کنه تا کد دلخواه را در محیط اجرای Hyper-V Host اجرا کنه.
• آسیب پذیری افزایش امتیاز با شناسه CVE-2022-30160 در ALPC هم پچ شده که اگه یه مهاجم در race condition موفق بشه منجر به ایجاد شرایط استفاده از UAF در ALPC هسته ویندوز NT میشه.
•  

علاوه بر مایکروسافت ، شرکت های زیر هم بروزرسانی هایی رو منتشر کردن :

• کمپانی Atlassian برای آسیب پذیری Confluence RCE که با شناسه CVE-2022-26134 شناخته می شد.
• کمپانی GitLab برای آسیب پذیری با شناسه CVE-2022-1680
• بروزرسانی گوگل برای کروم و اندروید
• بروزرسانی سیسکو برای محصولات مختلفش