خلاصه: مایکروسافت، روز سه شنبه 21 دی‌ماه، به‌روزرسانی امنیتی ماهانه خود را منتشر کرد و از 102 آسیب‌پذیری در مجموعه سخت‌افزار و نرم‌افزاری گزارش داد که از میان آن‌ها برای 96 مورد وصله منتشر کرده است. این بیشترین تعداد آسیب‌پذیری است که مایکروسافت در به روزرسانی امنیتی ماهانه خود در 8 ماه گذشته منتشرکرده است. البته خوشبختانه مایکروسافت اشاره می‌کند که هیچ کدام از این آسیب‌پذیری‌ها  مورد سوءاستفاده قرار نگرفته است.

داستین چایلدز، کارشناس آسیب‌پذیری‌های روزصفر شرکت Trend Micro، وصله‌های امنیتی منتشره‌شده را از نظر تعداد و سطح خطر به طور غیرمعمولی زیاد دانست. در سال‌های گذشته، میانگین تعداد وصله‌های منتشر شده در ژانویه حدود نصف سال 2022 است. نه مورد از آسیب‌پذیری‌ها در فهرست بحرانی قرار گرفتند و 6 مورد به‌طور عمومی شناخته شده‌اند. هیچ‌یک از این آسیب‌پذیری‌ها تحت حمله فعال نیستند.

آسیب‌پذیری CVE-2022-21907

آسیب‌پذیری CVE-2022-21907، در پشته پروتکل HTTP به عنوان وصله امنیتی اولویت‌دار مشخص شده‌است. این باگ، به مهاجم اجازه می‌دهد تا با ارسال بسته‌های مخصوص به سیستمی که از پشته پروتکل HTTP (http.sys) برای پردازش بسته‌ها استفاده می‌کند، اجرای کد را در سیستم آسیب‌دیده به دست آورد. بدین ترتیب، بدون تعامل با کاربر، بدون نیاز به امتیاز و سرویس عالی منجر به باگ wormable می‌شود. این آسیب‌پذیری بیشتر سمت سرور رخ می‌دهد اما کلاینت‌های ویندوز می‌توانند http.sys را اجرا کنند. بنابراین تمام نسخه‌های آسیب‌دیده تحت‌تأثیر این باگ قرار می‌گیرند. دنی کیم، کارشناس معماری امنیت شرکت Virsec،  نیز اشاره می‌کند که CVE-2022-21907 بسیار خطرناک است زیرا توانایی تحت‌تأثیر قرار دادن کل intranet را داراست.

این آسیب‌پذیری به‌روزترین نمونه‌ای است که سوءاستفاده کردن از قابلیت‌های نرم‌افزاری را نشان می‌دهد. سوءاستفاده از این قابلیت‌ها می‌تواند آن‌ها را به سلاح تبدیل کند. این آسیب‌پذیری به فرستنده اجازه می‌دهد تا با پیامی فیلدهای اضافی را در پیامی برای metadataها اضافه کند. این پیام، یک پیام ساخته شده خاص است که منجر به اجرای کد از راه دور می‌شود.

آسیب‌پذیری CVE-2022-21846

مایکروسافت سه آسیب‌پذیری اجرای کد از راه دور را در Exchange Server رفع کرده است اما فقط CVE-2022-21846 از این آسیب‌پذیری‌ها حیاتی در نظر گرفته می‌شود. سات‌نام نارانگ اشاره کرده‌است که استفاده از این آسیب‌پذیری‌ها نیازمند تلاش بیشتر مهاجمان است. این مورد برخلاف آسیب‌پذیری‌های ProxyLogon و ProxyShell است که از راه دور قابل بهره‌برداری بودند.

آسیب‌پذیری CVE-2022-21840 ، RCE در مایکروسافت آفیس و آسیب‌پذیری CVE-2022-21857 دارای سطح خطر بالاتر، باید به سرعت وصله‌های امنیتی منتشر شود.

آسیب‌پذیری CVE-2022-21840 را  می‌توان از طریق فایل خاص مورد سوءاستفاده قرار داد. این فایل می‌تواند از طریق ایمیل ارسال شود یا به صورت فایلی برای دانلود در سایت قرار بگیرد. برنامه آسیب‌پذیر با باز شدن فایل، هشداری را نشان نمی‌دهد. مایکروسافت  تا به حال، چندین به‌روزرسانی برای نرم‌افزارهای نصبی ارائه کرده است و باید همه افراد این به‌روزرسانی‌ها را نصب کنند. در حال حاضر، به‌روزرسانی‌های امنیتی مایکروسافت آفیس 2019 برای مک و مایکروسافت آفیس LTSC برای مک 2021 آماده نیستند.

آسیب‌پذیری CVE-2022-21857

مایکروسافت جزئیات زیادی را در مورد CVE-2022-21857 ارائه نکرده ‌است. فقط قبل از انتشار به‌روزرسانی، این نکته را یاد آور شده که «مهاجم می‌تواند تحت شرایط خاصی، امتیازات خود را برای کسب اعتماد افزایش دهد». Active Directory Domain Services عنصر حیاتی در راه‌اندازی شبکه بسیاری از شرکت‌ها است و به طور قابل توجهی ارزش حفاظت را دارد. پس باید وصله‌های امنیتی آسیب‌پذیری زودتر اجرا شوند.

آسیب‌پذیری‌های CVE-2022-21969 و CVE-2022-21855

دو آسیب‌پذیری مهم دیگر در Exchange Server وجود دارد. CVE-2022-21969 و CVE-2022-21855  به مهاجم اجازه می‌دهد که کد راه دور را روی سرور قربانی اجرا کند. این دو آسیب‌پذیری نمی‌توانند در همه‌جا سوءاستفاده شوند. منظور این است که مهاجم برای رسیدن به  هدف خود می‌بایست دسترسی فیزیکی  به شبکه مشترک داشته باشد (مثلاً از طریق بلوتوث) یا بتواند در داخل دامنه مدیریتی امن باشد.

مایکروسافت سرور اکسچنج در سال گذشته، به دلیل مجموعه‌ای از آسیب پذیری‌های روزصفر مورد انتقاد گرفته ‌است. مهاجمان از این آسیب‌پذیری‌ها  مانند Hafnium APT سوءاستفاده می‌کردند. همچنین در باج‌افزار Babuk مشاهده شد که مهاجمان از همان آسیب‌پذیری‌ها برای هدف قرار دادن قربانیان در ماه نوامبر استفاده می‌کردند.

آسیب‌پذیری CVE-2022-21893

در آخر، آسیب‌پذیری CVE-2022-21893 ، RCE در پروتکل‌های دسکتاپ از راه دور، فقط «مهم» در نظر گرفته شده و در صورتی قابل بهره‌برداری است که کاربر فریب خورده، به سرور RDP مخرب متصل شود. کارشناسان امنیتی از مدیران می‌خواهند که وصله امنیتی‌ را زودتر منتشر کنند.

به همه افراد توصیه می‌شود که به‌روزرسانی‌های وصله‌های امنیتی را  انجام دهند. همچنین، برنامه‌نویسان برنامه‌هایی که از کانال‌های مجازی سفارشی استفاده می‌کنند، باید آسیب‌پذیر بودن آن‌ها را بررسی کنند و ارزیابی امنیتی خود را انجام دهند.