مایکروسافت Patch Tuesday خودش رو برای مارس منتشر کرده و در اون به اصلاح 83 آسیب پذیری پرداخته.
در آپدیت این ماه طبقه بندی آسیب پذیری ها به شرح زیر هستش :
- آسیب پذیری افزایش سطح دسترسی : 21
- دور زدن ویژگی های امنیتی : 2
- اجرای کد از راه دور : 27
- افشای اطلاعات : 15
- منع سرویس : 4
- جعل : 10
نه تا از این 83 آسیب پذیری ، بحرانی طبقه بندی شدن و امکان اجرای کد از راه دور و افزایش امتیاز میدن و بقیه هم مهم و نامشخص و متوسط تعریف شدن. دو تا از این آسیب پذیری ها هم ، قبلا افشا و اکسپلویت شدن.
آسیب پذیری های بحرانی:
آسیب پذیری CVE-2023-23415 :
آسیب پذیری در پروتکل ICMP و امتیاز 9.8 داره. این آسیب پذیری جزء آسیب پذیری های ICMP fragmentation هستش. آسیب پذیری به دلیل یه پیام خطا که حاوی یه پکت IP تکه تکه شده در هدر اونه ، رخ میده. فقط برای اکسپلویت کردن نیازه تا یه برنامه در سیستم هدف به raw socket متصل باشه. مهاجم با این آسیب پذیری میتونه کد دلخواه در سیستم هدف اجرا کنه.
نسخه های تحت تاثیر:
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows 10 Version 1809
آسیب پذیری CVE-2023-23397 :
آسیب پذیری در Microsoft Outlook و دارای امتیاز 9.8 هستش. مهاجم از راه دور و بدون احراز هویت، تنها با ارسال ایمیل حاوی ویژگی های extended MAPI با مسیرهای UNC به SMB share (TCP 445) ، میتونه هش های Net-NTLMv2 کاربر رو لیک کنه. این هش ها قابل استفاده در حملات relay attack هستن. این آسیب پذیری قبل از مشاهده در Preview Pane رخ میده بنابراین تاثیری روی فعال یا غیرفعال کردن اون نداره.
نسخه های تحت تاثیر :
- Microsoft Outlook 2016
- Microsoft Outlook 2013 Service Pack 1
- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Office 2019
- Microsoft 365 Apps for Enterprise
- Microsoft Office 2019
- Microsoft Office LTSC 2021
این آسیب پذیری توسط یه گروه روسی بنام APT28 که با نامهای STRONTIUM, Sednit, Sofacy و Fancy Bear هم شناخته میشه و مرتبط با سرویس اطلاعات روسیه GRU هستش، مورد اکسپلویت قرار گرفته. این آسیب پذیری بین اواسط آوریل تا دسامبر 2022 (26 فروردین تا 24 آذر 1401) برای هدف قرار دادن حداقل 15 سازمان دولتی ، نظامی ، انرژی و حمل و نقل در اورپا مورد استفاده قرار گرفته. سرت اوکراین این آسیب پذیری رو شناسایی و گزارش داده
همچنین یه اسکرپیت پاورشل هم توسعه دادن تا بتونید بررسی کنید که آیا کاربران در محیط Exchange هدف این آسیب پذیری قرار گرفتن یا نه.
جزئیات این آسیب پذیری رو میتونید از اینجا بدست بیارید و همچنین اکسپلویت کامل اون رو از اینجا.
آسیب پذیری CVE-2023-23404 :
آسیب پذیری در Windows Point-to-Point Tunneling Protocol و دارای امتیاز 8.1 هستش. آسیب پذیری از نوع race condition هستش که برای اکسپلویت باید تو شرایطی برنده بشید. مهاجم احراز هویت نشده با ارسال یه درخواست مخرب به RAS server ، کد دلخواه خودش رو در این سرور ، میتونه اجرا کنه.
نسخه های تحت تاثیر:
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows 10 Version 1809
آسیب پذیری CVE-2023-23411 :
آسیب پذیری در Windows Hyper-V و دارای امتیاز 6.5 هستش. آسیب پذیری منجر به تاثیر Gust روی Host میشه. آسیب پذیری هم از نوع DoS طبقه بندی شده.
نسخه های تحت تاثیر:
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows 10 Version 1809
آسیب پذیری CVE-2023-23416 :
آسیب پذیری در سرویس های رمزنگاری ویندوز و دارای امتیاز 8.4 هستش. برای اکسپلویت آسیب پذیری نیازه که یه گواهی مخرب در سیستم هدف قرار بگیره. برای این منظور مهاجم یا باید کاربر احراز هویت شده رو متقاعد کنه که گواهی رو ایمپورت کنه یا باید از یه سرویسی استفاده کنه که گواهی ها رو پردازش یا ایمپورت میکنه. اکسپلویت امکان اجرای کد از راه دور میده اما خود اکسپلویت بصورت محلی هستش که به این نوع آسیب پذیری ها ACE میگن.
نسخه های تحت تاثیر:
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows 10 Version 1809
آسیب پذیری CVE-2023-23392 :
آسیب پذیری در HTTP Protocol Stack (http.sys) و دارای امتیاز 9.8 هستش. مهاجم از راه دور و بدون احراز هویت ، میتونه کد دلخواه رو بدون تعامل کاربر با امتیاز SYSTEM اجرا کنه. سیستم هدف باید HTTP/3 رو فعال کرده باشه و I/O رو برای بافر تنظیم کرده باشه.
نسخه های تحت تاثیر:
- Windows 11 Version 22H2
- Windows 11 Version 21H2
- Windows Server 2022
آسیب پذیری CVE-2023-21708 :
آسیب پذیری در RPC Runtime و دارای امتیاز 9.8 هستش. مهاجم بدون احراز هویت باید یه RPC call به RPC host ارسال کنه. این میتونه منجر به اجرای کد در سمت سرور و با امتیاز RPC service بشه. مسدود کردن پورت TCP 135 در perimeter firewall ها میتونه حملات روی این آسیب پذیری رو کاهش بده.
نسخه های تحت تاثیر:
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows 10 Version 1809
آسیب پذیری CVE-2023-1017 :
آسیب پذیری در TPM2.0 Module Library و دارای امتیاز 8.8 هستش. این آسیب پذیری در درایور شخص ثالث هستش. مهاجم با استفاده از دستورات مخرب TPM میتونه از guest VM به تارگتی که Hyper-V رو اجرا میکنه دسترسی داشته باشه و منجر به out of bounds write روی پارتیشن ریشه میشه.
نسخه های تحت تاثیر:
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows 10 Version 1809
آسیب پذیری CVE-2023-1018:
آسیب پذیری در TPM2.0 Module Library و دارای امتیاز 8.8 هستش. این آسیب پذیری در درایور شخص ثالث هستش. آسیب پذیری منجر به افزایش امتیاز میشه.
نسخه های تحت تاثیر:
- Windows 10
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows 10 Version 1809
- Windows 10 Version 1607
آسیب پذیری های اکسپلویت شده :
این ماه مایکروسافت دو آسب پذیری رو اصلاح کرده که قبلا اکسپلویت شدن. یکی همون آسیب پذیری CVE-2023-23397 در Microsoft Outlook بود که بالا در موردش توضیح دادم و یکی هم آسیب پذیری CVE-2023-24880 هستش.
آسیب پذیری CVE-2023-24880:
آسیب پذیری در Windows SmartScreen و دارای امتیاز 5.4 هستش. مهاجم امکان دور زدن ویژگی امنیتی Mark of the Web (MOTW) رو داره. ویژگی های امنیتی مانند SmartScreen و Protected View در مایکروسافت آفیس به MOTW بستگی داره، بنابراین با دور خوردن MOTW ،این ویژگی ها هم دور میخورن که منجر به انتشار ساده تر بدافزارها میشه.
نسخه های تحت تاثیر:
- Windows Server 2022
- Windows 10 Version 21H2
- Windows 11 Version 21H2
- Windows 10 Version 20H2
- Windows Server 2019
- Windows 10 Version 1809
- Windows Server 2016
- Windows 10 Version 1607
- Windows 10 Version 22H2
- Windows 11 Version 22H2
- Windows 10 Version 21H2
این آسیب پذیری توسط گروه باج افزاری Magniber که جانشین باج افزار Cerber هستن ، برای استقرار باج افزار مورد استفاده قرار گرفته. مهاجمین فایلهای مخرب خودشون رو در فرمت MSI و با امضای Authenticode ، برای دور زدن ویژگی های امنیتی ارائه دادن. این گروه اغلب روی تایوان و کره جنوبی و چین ، مالزی ، هنگ کنگ ، سنگاپور و اخیرا هم روی اروپا فعالیت داشتن.