مایکروسافت طبق روال هر ماه ، این ماه هم Patch Tuesday رو ارائه داد، در این بروزرسانی بطور کلی 74 نقص پچ کرده که از این تعداد 3تاش زیرودی بودند که برای یکیش اکسپلویت فعال وجود داشته.
اصلاح Patch Tuesday یک اصطلاح غیر رسمی برای اشاره به زمانی است که مایکروسافت، ادوبی، اوراکل و … به طور منظم وصلههای نرمافزاری را برای محصولات نرمافزاری خودشون منتشر میکنند.
مایکروسافت Patch Tuesday را در اکتبر 2003 رسمی کرد. Patch Tuesday در دومین سهشنبه هر ماه در آمریکای شمالی منتشر میشه. بروزرسانیهای امنیتی حیاتی گهگاه خارج از چرخه عادی Patch Tuesday منتشر میشن، این بروزرسانیها به عنوان نسخههای «Out-of-band» شناخته میشن.
تا آنجا که به عملکرد Windows Update (WU) مربوط میشه، Patch Tuesday در ساعت 10:00 صبح به وقت محلی PST (حدودا 10:30 شب ایران) آغاز می شه.
از 74 آسیبپذیری رفع شده در بهروزرسانی این ماه، هشت مورد به عنوان «بحرانی» طبقهبندی شدن، چون امکان اجرای کد از راه دور یا افزایش امتیازات را فراهم میکنند. تعداد نقص هایی که در هر دسته آسیب پذیری وجود داره در زیر ذکر شده :
- 21 آسیب پذیری افزایش سطح امتیاز
- 4 آسیب پذیری دور زدن ویژگی های امنیتی
- 26 آسیب پذیری اجرای کد از راه دور
- 17 آسیب پذیری افشای اطلاعات
- 6 آسیب پذیری انکار سرویس
- 1 آسیب پذیری جعل
در این بروزرسانی سه آسیبپذیری روز صفر وجود داشته که یکی از اونها به طور فعال مورد اکسپلویت قرار گرفته و بقیه به صورت عمومی افشا شدن.
مایکروسافت یه آسیبپذیری رو بهعنوان روز صفر طبقهبندی میکنه، اگر بهطور عمومی افشا بشه یا بهطور فعال مورد اکسپلویت قرار بگیره، بدون اینکه هیچ اصلاح رسمی براش در دسترس باشه.
آسیبپذیری روز صفر که به طور فعال مورد اکسپلویت قرار گرفته ، برای یک حمله NTLM Relay جدید با استفاده از یک نقص در LSARPC که به عنوان «CVE-2022-26925 – Windows LSA Spoofing Vulnerability» شناسایی میشه.
مایکروسافت در خصوص این آسیب پذیری گفته: “یک مهاجم تایید نشده میتونه متدی رو روی اینترفیس LSARPC فراخوانی کنه و کنترلکننده دامنه را مجبور کنه تا با استفاده از NTLM برای مهاجم احراز هویت کنه. این بهروزرسانی امنیتی اتصال ناشناس در LSARPC را شناسایی کرده و اجازه این کار نمیده.”
با استفاده از این حمله، عوامل تهدید میتونن درخواستهای احراز هویت قانونی را شناسایی کنند و از اونا برای به دست آوردن امتیازات بالاتر استفاده کنند، حتی تا اونجا که هویت یک کنترلکننده دامنه را هم با این روش بدست بیارن.
مایکروسافت به مدیران توصیه میکنه برای اطلاع از اقدامات کاهشی در خصوص این حمله ، توصیه PetitPotam NTLM Relay را مطالعه کنند.
دو آسیب پذیری روز صفر که به طور عمومی افشا شدن، آسیب پذیری انکار سرویس در Hyper-V و آسیب پذیری جدید اجرای کد از راه دور در Azure Synapse و Azure Data Factory هستند.
آسیب پذیری با شناسه CVE-2022-22713 – آسیب پذیری انکار سرویس در Windows Hyper-V
آسیب پذیری با شناسه CVE-2022-29972 در درایور Magnitude Simba Amazon Redshift ODBC
همچنین ویژگی point-to-point tunneling در ویندوز هم دو آسیب پذیری حیاتی براش درج شده که امکان اجرای کد روی سرور RAS رو برای مهاجم میده. اگرچه این آسیب پذیری ها حیاتی هستش اما مایکروسافت گفته به دلیل پیچیدگی حمله و نیاز هکر برای بدست آوردن race condition ، امکان اکسپلویت این دو آسیب پذیری کمتره. این دو آسیب پذیری با شناسه CVE-2022-21972 و CVE-2022-23270 شناخته میشن.
آسیب پذیری CVE-2022-26931 و CVE-2022-26923 که هر دو برای افزایش سطح امتیاز هست و به ترتیب برای Windows Kerberos و Windows Active Directory هستش. مایکروسافت گفته آسیب پذیری CVE-2022-26931 هم به دلیل پیچیدگی حمله امکان اکسپلویت کردنش سخته و احتمالا کمتر استفاده خواهد شد.
آسیب پذیری که بیشترین شدت و امتیاز رو داشته ، 9.8 از 10 ، آسیب پذیری با شناسه CVE-2022-26937 روی Windows Network File System هستش. مهاجم بدون احراز هویت و با استفاده از سرویس NFS میتونه اقدام به اجرای کد روی ماشین هدف بکنه.
علاوه بر موارد بالا محققین این آسیب پذیرها رو هم جدی تلقی کردن :
- آسیب پذیری افزایش سطح دسترسی با شناسه CVE-2022-29104 روی Windows Print Spooler
- آسیب پذیری اجرای کد از راه دور با شناسه CVE-2022-29108 روی Microsoft SharePoint Server
- آسیب پذیری افشای اطلاعات با شناسه CVE-2022-29114 روی Windows Print Spooler
- آسیب پذیری افزایش سطح دسترسی با شناسه CVE-2022-29132 روی Windows Print Spooler
- آسیب پذیری افزایش سطح دسترسی با شناسه CVE-2022-29142 در Windows Kernel
- آسیب پذیری افزایش سطح دسترسی با شناسه CVE-2022-23279 در Windows ALPC
علاوه بر مایکروسافت کمپانی های زیر نیز بروزرسانی هایی را منتشر کرده اند :
- گوگل : اصلاح چندین آسیب پذیری در اندروید و کروم و ChromOS
- سیسکو: اصلاح چندین آسیب پذیری در محصولات مختلف این شرکت
- شرکت F5 : اصلاح آسیب پذیری حیاتی در محصولات BIG-IP (برای آشنایی با این آسیب پذیری میتونید مقاله “هشدار F5 در خصوص آسیب پذیری با شناسه CVE-2022-1388 در BIG-IP” و “بررسی عمیق آسیب پذیری CVE-2022-1388” بخونید )