وصله‌های امنیتی ماه می ۲۰۲۳ مایکروسافت

مایکروسافت به‌روز‌رسانی‌ وصله‌هایی را برای ماه می ۲۰۲۳ برای رفع ۳۸ نقص امنیتی، از جمله یک باگ روز صفر که به گفته‌ی ماکروسافت فعالانه در محیط مورد سو‌استفاده قرار میگیرد، عرضه کرده است. سازمان امنیتی افشای آسیب‌پذیری Trend Micro's Zero Day Initiative (ZDI) گفت که این حجم از آسیب‌پذیری  کمترین میزان از آگوست 2021 تا الان است، اگرچه اشاره کرد که "انتظار می رود این تعداد در ماه های آینده افزایش یابد." از نظر شدت آسیب‌پذیری‌ها ۶ آسیب‌پذیری از این ۳۸ آسیب‌پذیری، بحرانی هستند و ۸ آسیب‌پذیری از این ۳۸ تا احتمال بهره‌برداری بیشتری دارند که مایکروسافت آن‌ها را “Exploitation More Likely” برچسب‌گذاری کرده است. در صدر فهرست این آسیب‌پذیری‌ها، آسیب‌پذیری با شناسه CVE-2023-29336 (امتیازCVSS: 7.8 ) قرار دارد که یک نقص افزایش امتیاز در Win32k است که تحت بهره‌برداری فعال قرار گرفته است. هنوز مشخص نیست که این حملات چقدر گسترده است.
مایکروسافت بیان کرد که “هر مهاجمی که بتواند از این آسیب‌پذیری با موفقیت بهره‌برداری بکند میتواند به امتیاز سیستمی (SYSTEM privileges) دست یابد ” این توسعه باعث شد که امنیت سایبری ایالات متحده آمریکا و آژانس امنیت زیر ساخت (CISA) این آسیب‌پذیری را به لیست آسیب‌پذیری های مورد بهره‌برداری(Known Exploited Vulnerabilities) اضافه کرده‌اند. همچنین دو نقص قابل توجه دیگر وجود دارد که یکی از این آسیب‌پذیری‌ها که به ویندوز OLE تاثیر می‌گذارد، نقص حیاتی در اجرای کد از راه دور است که با شناسه CVE-2023-29325 با امتیاز ۸.۱ شناخته می‌شود که توسط ارسال یک ایمیل مخصوص برای قربانی، می‌توان به آن حمله کرد. مایکروسافت برای کاهش خطر بهره‌برداری به کاربران توصیه می‌کند که پیام‌های ایمیل را در قالب متن ساده(plain text) بخوانند تا در برابر این آسیب‌پذیری در امان بمانند.
دومین آسیب‌پذیری شناخته شده با شناسه CVE-2023-24932 با امتیاز ۶.۷، یک میانبر ویژگی بوت امن (Secure Boot)است که برای محافظت و دفاع از خود توسط BlackLotus UEFI bootkit مسلح شده است. که BlackLotus UEFI bootkit ازآسیب‌پذیری با شناسه  CVE-2022-21894 (با نام Baton Drop) استفاده کرده است که مشکل این آسیب‌پذیری در ژانویه ۲۰۲۲ حل شده بود.
مایکروسافت برای رفع خطر گفت “این آسیب‌پذیری به مهاجم اجازه می‌دهد تا زمانی که Secure Boot فعال است، self-signed کد را در سطح Unified Extensible Firmware Interface (UEFI) اجرا کند ”. این کار در درجه اول توسط عامل تهدید به عنوان مکانیزم پایدار‌سازی و فرار دفاعی استفاده می‌شود. بهره‌برداری موفق بر این متکی است که مهاجم امکان دسترسی فیزیکی یا امتیازات مدیریت محلی در دستگاه مورد نیاز داشته باشد.
شایان ذکر است که راه‌‌حل ارسال شده توسط مایکروسافت برای این مشکل،  به صورت پیش‌فرض غیر‌فعال است و مشتریان باید به صورت دستی ابطال ها را بعد از بروز‌رسانی همه رسانه‌های قابل بوت، اعمال کنند. مایکروسافت هشدار داد، هنگامی که یکی از روش های حل این مشکل در یک دستگاه فعال بشود یعنی ابطال ها اعمال بشود، تا زمانی که از بوت امن استفاده می‌کنید نمی توانید آن دستگاه را برگردانید . حتی بازسازی دیسک نمی‌تواند لغو ها را حذف کند اگر قبلاً اعمال شده باشند. مایکروسافت گفته‌است که برای جلوگیری از خطرات اختلال ناخواسته، در حال اتخاذ یک رویکرد مرحله‌ای است تا به طور کامل مسیر حمله را مسدود کند که انتظار می‌رود این رویکرد تا ۳ ماه اول ۲۰۲۴ ادامه داشته باشد.
شرکت امنیتی سیستم‌افزار Binarly در اوایل ماه مارس اشاره کرد: طرح‌های راه‌اندازی امن مبتنی بر UEFI برای پیکربندی صحیح و/یا کاهش معنی‌دار سطوح حمله آن‌ها بسیار پیچیده هستند.
همانطور که پیداست، حملات بوت لودر به این زودی ها ناپدید نمی‌شوند.
 
 منابع

１-    https://www.zerodayinitiative.com/blog/2023/5/8/the-may-2023-security-update-review
２-    https://thehackernews.com/2023/05/microsofts-may-patch-tuesday-fixes-38.html 
３-    https://msrc.microsoft.com/update-guide/releaseNote/2023-May