به روزرسانی امنیتی مایکروسافت جهت رفع نقص امنیتی در ویندوز

تاریخ ایجاد

مایکروسافت مشکل شناخته‌شده‌ای که باعث میشد برخی دستگاه‌های ویندوزی پس از نصب به‌روزرسانی‌های امنیتی ماه گذشته از حالت بازیابی BitLocker راه‌اندازی شوند را برطرف کرده است. به گفته‌ی این شرکت، پس از نصب به‌روزرسانی امنیتی ویندوز که در تاریخ 9 جولای 2024 منتشر شد، ممکن است هنگام راه‌اندازی دستگاه، صفحه بازیابی BitLocker مشاهده شود. کاربرانی که تحت تأثیر این نقص امنیتی قرار گرفته‌اند، با صفحه بازیابی BitLocker مواجه می‌شوند و باید کلید بازیابی BitLocker را وارد کنند تا بتوانند درایو را باز کرده و سیستم را به ‌طور عادی از حالت بازیابی راه‌اندازی کنند.
این اتفاق معمولاً پس از به‌روزرسانی ویندوز رخ نمی‌دهد. کاربرانی که گزینه Device Encryption را را در تنظیمات در قسمت Privacy & Security -> Device encryption فعال کرده‌اند، بیشتر ممکن است هنگام راه‌اندازی سیستم خود با صفحه بازیابی BitLocker مواجه شوند.
BitLocker یک ویژگی امنیتی ویندوز است که درایوهای حافظه را رمزگذاری می‌کند تا از سرقت یا افشای داده‌ها جلوگیری شود. کامپیوترهای ویندوزی معمولاً تنها پس از رویدادهایی مانند تغییرات سخت‌افزاری یا به‌روزرسانی‌های TPM (ماژول پلتفرم قابل اعتماد) وارد حالت بازیابی BitLocker می‌شوند تا به درایوهای محافظت‌شده دسترسی پیدا کنند.
TPM یک تراشه امنیتی است که در مادربوردهای کامپیوترها نصب می‌شود یا به صورت افزونه (ماژول) قابل نصب است. این تراشه برای اجرای عملیات رمزنگاری مانند ایجاد، ذخیره‌سازی و مدیریت کلیدهای رمزنگاری استفاده می‌شود و به افزایش امنیت سیستم‌ها کمک می‌کند.
کاربران می‌توانند با وارد شدن به پورتال صفحه بازیابی BitLocker با استفاده از حساب کاربری مایکروسافت خود، BitLocker را بازیابی کنند.
در آگوست 2022، دستگاه‌های ویندوزی تحت تأثیر مشکلات مشابهی قرار گرفتند و پس از به‌روزرسانی امنیتی KB5012170 برای Secure Boot DBX  با خطاهای 0x800f0922 مواجه شدند که باعث شد برخی دستگاه‌ها در صفحه بازیابی BitLocker راه‌اندازی شوند.

نسخه‌های آسیب‌پذیر
این مشکل، چندین پلتفرم ویندوزی، شامل سرور و کلاینت را تحت تأثیر قرار داده است:
•    کلاینت: Windows 11 version 23H2، Windows 11 version 22H2، Windows 11 version 21H2، Windows 10 version 22H2، Windows 10 version 21H2.
•    سرور: Windows Server 2022، Windows Server 2019، Windows Server 2016، Windows Server 2012، Windows Server 2012 R2، Windows Server 2008، Windows Server 2008 R2.
 

توصیه‌های امنیتی
مایکروسافت نصب آخرین به‌روزرسانی ویندوز را توصیه کرده‌ است زیرا شامل وصله‌های امنیتی و رفع نواقص مهمی، از جمله این نقص می‌باشد.

منبع خبر:


https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-issue-that-sent-pcs-into-bitlocker-…

آسیب‌پذیری در افزونه‌های File Upload و JetElements وردپرس

تاریخ ایجاد

 یک آسیب‌پذیری با شناسه  CVE-2024-7301 و شدت 7.2 در افزونه WordPress File Upload کشف شده است.  این آسیب‌پذیری به دلیل عدم پاکسازی صحیح ورودی‌ها و عدم بررسی لازم در بارگذاری فایل‌های SVG، به مهاجمان اجازه می‌دهد تا اسکریپت‌های دلخواه را در صفحات وب تزریق کنند. این اسکریپت‌ها هنگامی که یک کاربر به فایل SVG دسترسی پیدا می‌کند، اجرا می‌شوند.
این آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) است و می‌تواند بدون نیاز به تعامل کاربر و بدون نیاز به دسترسی‌های ویژه، از طریق شبکه، مورد بهره‌برداری قرار گیرد. این موضوع باعث می‌شود که حملات گسترده‌تری ممکن شود، زیرا مهاجم می‌تواند کدهای مخرب خود را در وب‌سایت تزریق کند و بر اساس آن اطلاعات حساس کاربران را به دست آورد یا کنترل بیشتری بر سایت داشته باشد.

 یک آسیب‌پذیری با شناسه CVE-2024-7145 و شدت 8.8 در افزونه JetElements وردپرس کشف شده است. این آسیب‌پذیری از نوع درج فایل محلی (Local File Inclusion) یا LFI است که به مهاجمان احراز هویت‌شده با سطح دسترسی Contributor یا بالاتر اجازه می‌دهد فایل‌های دلخواه را در سرور درج و اجرا کنند. این نقص می‌تواند به مهاجمان امکان اجرای کد PHP دلخواه را بدهد، که می‌تواند منجر به دور زدن کنترل‌های امنیتی، دسترسی به اطلاعات حساس، و حتی در برخی موارد، کنترل کامل وب‌سایت وردپرس شود.

محصولات تحت تأثیر
شناسه CVE-2024-7301: نسخه  4.28.4 و تمام نسخه‌‌های قبلی افزونه File Upload  تحت تاثیر این آسیب‌پذیری قرار می‌گیرند.

شناسه CVE-2024-7145: این آسیب‌پذیری نسخه‌های تا 2.6.20 از افزونه JetElements را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
شناسه CVE-2024-7301: به کاربران توصیه می‌شود افزونه را به نسخه 4.24.9 به‌روزرسانی کنند.

شناسه CVE-2024-7145: به کاربران توصیه می‌شود فوراً افزونه خود را به نسخه جدیدتر از 2.6.20 به‌روزرسانی کنند یا تا زمان انتشار یک وصله امنیتی، آن را غیرفعال کنند. همچنین، اعمال محدودیت‌های سختگیرانه بر دسترسی کاربران و استفاده از فایروال برنامه‌های وب (WAF) برای تشخیص و مسدودسازی تلاش‌های احتمالی برای بهره‌برداری از این آسیب‌پذیری توصیه می‌شود.

منابع‌خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-301
[2] https://github.com/advisories/GHSA-gw3m-cj7m-xhp2

[3] https://www.tenable.com/cve/CVE-2024-7145

رفع آسیب‌پذیری بحرانی در نرم‌افزار SolarWinds Web Help Desk

تاریخ ایجاد

اخیرا یک وصله امنیتی برای آسیب‌پذیری بحرانی با شناسه CVE-2024-28986 و شدت CVSS: 9.8 در نرم‌افزار Web Help Desk شرکت SolarWinds منتشر شده است. این آسیب‌پذیری امنیتی که به دلیل نقص در پردازش deserialization جاوا می‌باشد می‌تواند به مهاجمان اجازه دهد کنترل کامل سیستم را به دست گرفته و برنامه داده‌های مخرب را پردازش کرده و کدهای مخرب را اجرا کند. نرم‌افزار Web Help Desk به شرکت‌‌ها و سازمان‌ها، امکان مدیریت بهتر درخواست‌های کاربران و پاسخ‌دهی مناسب و به موقع از سمت تیم پشتیبانی ارائه می‌دهد. 

محصولات تحت تأثیر
 Web Help Desk: نسخه 12.8.3 و نسخه‌های قبل‌تر

توصیه‌های امنیتی 
در نسخه جدید یک وصله امنیتی فوری به عنوان hotfix با شماره 12.8.3 HF 1  منتشر شده است. مدیران فناوری اطلاعات و مدیران شبکه سازمان‌ها لازم است ابتدا نرم‌افزار مربوطه را به نسخه 12.8.3.1813  ارتقا دهند. پس از اعمال به‌روزرسانی SolarWinds،  به‌طور خودکار یک فایل JAR به سیستم اضافه خواهد شد، اما در ادامه لازم است کاربران یک تغییر دستی در پوشه تنظیمات (config) نرم‌افزار انجام دهند. دستورالعمل‌های دقیق جهت نصب این به‌روزرسانی و تغییرات لازم در راهنمای منتشر شده توسط شرکتSolarWinds  ارائه شده است.

منبع خبر:


https://thehackernews.com/2024/08/solarwinds-releases-patch-for-critical.html

کشف اپلیکیشن آسیب‌پذیر در میلیون‌ها گوشی گوگل Pixel

تاریخ ایجاد

محققان حوزه امنیت موبایل یک پکیج اندرویدی به نام Showcase.apk کشف کرده‌اند که دارای دسترسی‌های سیستمی بسیار زیاد است و امکان اجرای کد از راه دور و نصب پکیج را برای مهاجم فراهم می‌آورد. این برنامه بر روی درصد بزرگی از گوشی‌های Pixel که پس از سپتامبر 2017 به فروش رفته‌اند به طور پیش‌فرض نصب شده است. اپلیکیشن مذکور یک فایل پیکربندی را از طریق یک پروتکل غیر امن دانلود کرده که می‌تواند جهت اجرای کد مورد بهره‌برداری قرار گیرد.
 

1


نمونه درخواستی که در صورت فعال بودن این برنامه، ارسال می‌شود.


این اپلیکیشن فایل پیکربندی را از یک سرور AWS از طریق پروتکل HTTP دانلود می‌کند و می‌تواند دستگاه را آسیب‌پذیر کند. وجود این برنامه میلیون‌ها دستگاه اندرویدی را در معرض حمله MITM قرار می‌دهد و مهاجمان می‌توانند کدهای مخرب خود را جهت نصب جاسوس‌افزار به آن تزریق نمایند. حذف این برنامه توسط کاربر عادی ممکن نیست و هنوز شرکت گوگل وصله‌ای برای این نقص امنیتی منتشر نکرده است. خوشبختانه این برنامه به طور پیش‌فرض فعال نیست اما ممکن است از روش‌هایی برای فعال‌سازی آن استفاده شود که این روش‌ها برای حفظ امنیت کاربران هنوز عمومی نشده‌اند. این برنامه توسط شرکتی به نام Smith Micro ساخته شده است که دستگاه را در حالت demo قرار می‌دهد. در این حالت بسیاری از دسترسی‌های سطح بالا و غیر ضروری برای برنامه فعال می‌شوند. مهاجم با منابع کافی می‌تواند اقدام به نصب Backdoor در بسیاری از گوشی‌های پیکسل در سطح جهان نماید.

توصیه‌های امنیتی
گوگل در ارائه وصله امنیتی برای این نقص تاخیر داشته است. لذا فعلاً از طریق زیر می‌توانید نصب بودن یا نبودن این پکیج را بر روی دستگاه خود را بررسی نمایید: 
 
 

2

کدهای هش مربوط به برنامه


این برنامه فایل‌های زیادی را پس از اجرا بر روی حافظه ذخیره می‌کند:

 

3

پوشه‌های محل ذخیره فایل

همچنین فایل‌هایی که این برنامه ایجاد می‌کند و یا بر روی آن‌ها می‌نویسد در شکل زیر قابل مشاهده است:
 
 

4

محل‌های ذخیره فایل


منابع خبر:


[1]https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices…
[2]https://www.wired.com/story/google-android-pixel-showcase-vulnerability/
[3]https://cybersecuritynews.com/android-vulnerability-pixel-devices-worldwide/
 

کشف آسیب‌پذیری بحرانی در سیستم‌عامل ویندوز

تاریخ ایجاد

به‌تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-38063 و شدت 9.8 در سیستم‌عامل ویندوز کشف شده است. این آسیب‌پذیری از نوع integer underflow می‌باشد و این امکان را برای مهاجم احراز هویت نشده فراهم می‌آورد تا با ارسال مکرر بسته‌های IPv6 خاص به یک دستگاه ویندوز، کد دلخواه خود را از راه دور اجرا نماید.


محصولات تحت‌تأثیر
این آسیب‌پذیری تمامی نسخه‌های محصولات جدول زیر و نسخه‌های قبل‌تر آن‌ها را تحت تأثیر خود قرار می‌دهد.

Product

Build Number

Windows 11 Version 24H2 for x64-based Systems

10.0.26100.1457

Windows 11 Version 24H2 for ARM64-based Systems

10.0.26100.1457

Windows Server 2012 R2 (Server Core installation)

6.3.9600.22134

Windows Server 2012 R2

6.3.9600.22134

Windows Server 2012 (Server Core installation)

6.2.9200.25031

Windows Server 2012

6.2.9200.25031

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

6.1.7601.27277

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

6.1.7601.27277

Windows Server 2008 R2 for x64-based Systems Service Pack 1

6.1.7601.27277

Windows Server 2008 R2 for x64-based Systems Service Pack 1

6.1.7601.27277

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for x64-based Systems Service Pack 2

6.0.6003.22825

Windows Server 2008 for x64-based Systems Service Pack 2

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2

6.0.6003.22825

Windows Server 2016 (Server Core installation)

10.0.14393.7259

Windows Server 2016

10.0.14393.7259

Windows 10 Version 1607 for x64-based Systems

10.0.14393.7259

Windows 10 Version 1607 for 32-bit Systems

10.0.14393.7259

Windows 10 for x64-based Systems

10.0.10240.20751

Windows 10 for 32-bit Systems

10.0.10240.20751

Windows Server 2022, 23H2 Edition (Server Core installation)

10.0.25398.1085

Windows 11 Version 23H2 for x64-based Systems

10.0.22631.4037

Windows 11 Version 23H2 for ARM64-based Systems

10.0.22631.4037

Windows 10 Version 22H2 for 32-bit Systems

10.0.19045.4780

Windows 10 Version 22H2 for ARM64-based Systems

10.0.19045.4780

Windows 10 Version 22H2 for x64-based Systems

10.0.19045.4780

Windows 11 Version 22H2 for x64-based Systems

10.0.22621.4037

Windows 11 Version 22H2 for ARM64-based Systems

10.0.22621.4037

Windows 10 Version 21H2 for x64-based Systems

10.0.19044.4780

Windows 10 Version 21H2 for ARM64-based Systems

10.0.19044.4780

Windows 10 Version 21H2 for 32-bit Systems

10.0.19044.4780

Windows 11 version 21H2 for ARM64-based Systems

10.0.22000.3147

Windows 11 version 21H2 for x64-based Systems

10.0.22000.3147

Windows Server 2022 (Server Core installation)

10.0.20348.2655

Windows Server 2022

10.0.20348.2655

Windows Server 2019 (Server Core installation)

10.0.17763.6189

Windows Server 2019

10.0.17763.6189

Windows 10 Version 1809 for ARM64-based Systems

10.0.17763.6189

Windows 10 Version 1809 for x64-based Systems

10.0.17763.6189

Windows 10 Version 1809 for 32-bit Systems

10.0.17763.6189


توصیه‌های امنیتی
با اعمال به‌روزرسانی محصولات آسیب‌پذیر به نسخه‌های ارائه شده در جدول زیر، آسیب‌پذیری مذکور رفع خواهد شد.

Product

Build Number

Windows 11 Version 24H2 for x64-based Systems

10.0.26100.1457

Windows 11 Version 24H2 for ARM64-based Systems

10.0.26100.1457

Windows Server 2012 R2 (Server Core installation)

6.3.9600.22134

Windows Server 2012 R2

6.3.9600.22134

Windows Server 2012 (Server Core installation)

6.2.9200.25031

Windows Server 2012

6.2.9200.25031

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

6.1.7601.27277

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

6.1.7601.27277

Windows Server 2008 R2 for x64-based Systems Service Pack 1

6.1.7601.27277

Windows Server 2008 R2 for x64-based Systems Service Pack 1

6.1.7601.27277

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for x64-based Systems Service Pack 2

6.0.6003.22825

Windows Server 2008 for x64-based Systems Service Pack 2

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2

6.0.6003.22825

Windows Server 2008 for 32-bit Systems Service Pack 2

6.0.6003.22825

Windows Server 2016 (Server Core installation)

10.0.14393.7259

Windows Server 2016

10.0.14393.7259

Windows 10 Version 1607 for x64-based Systems

10.0.14393.7259

Windows 10 Version 1607 for 32-bit Systems

10.0.14393.7259

Windows 10 for x64-based Systems

10.0.10240.20751

Windows 10 for 32-bit Systems

10.0.10240.20751

Windows Server 2022, 23H2 Edition (Server Core installation)

10.0.25398.1085

Windows 11 Version 23H2 for x64-based Systems

10.0.22631.4037

Windows 11 Version 23H2 for ARM64-based Systems

10.0.22631.4037

Windows 10 Version 22H2 for 32-bit Systems

10.0.19045.4780

Windows 10 Version 22H2 for ARM64-based Systems

10.0.19045.4780

Windows 10 Version 22H2 for x64-based Systems

10.0.19045.4780

Windows 11 Version 22H2 for x64-based Systems

10.0.22621.4037

Windows 11 Version 22H2 for ARM64-based Systems

10.0.22621.4037

Windows 10 Version 21H2 for x64-based Systems

10.0.19044.4780

Windows 10 Version 21H2 for ARM64-based Systems

10.0.19044.4780

Windows 10 Version 21H2 for 32-bit Systems

10.0.19044.4780

Windows 11 version 21H2 for ARM64-based Systems

10.0.22000.3147

Windows 11 version 21H2 for x64-based Systems

10.0.22000.3147

Windows Server 2022 (Server Core installation)

10.0.20348.2655

Windows Server 2022

10.0.20348.2655

Windows Server 2019 (Server Core installation)

10.0.17763.6189

Windows Server 2019

10.0.17763.6189

Windows 10 Version 1809 for ARM64-based Systems

10.0.17763.6189

Windows 10 Version 1809 for x64-based Systems

10.0.17763.6189

Windows 10 Version 1809 for 32-bit Systems

10.0.17763.6189

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-38063

کشف آسیب‌پذیری بحرانی در پیاده‌سازی OpenSSH سیستم‏‌های FreeBSD

تاریخ ایجاد

یک آسیب‌پذیری امنیتی بحرانی در پیاده‌سازی‌ OpenSSH در سیستم‌های FreeBSD کشف شده است که به مهاجمان این امکان را می‌دهد تا بدون احراز هویت، از راه دور کد دلخواه خود را اجرا کنند. این آسیب‌پذیری با شناسه CVE-2024-7589 شناخته می‌شود و تمام نسخه‌های پشتیبانی‌شده FreeBSD را تحت تأثیر قرار می‌دهد.
آسیب‌پذیری مذکور خطر قابل توجهی ایجاد می‌کند زیرا امکان اجرای کد از راه دور بدون احراز هویت را فراهم کرده که می‌تواند به نفوذ کامل به سیستم منجر شود. مهاجمانی که از این نقص بهره‌برداری می‌کنند می‌توانند دسترسی ادمین (root) سیستم را به دست بگیرند، به اطلاعات محرمانه سیستم دسترسی پیدا کنند، سیستم را آلوده کند و اعمال بدخواهانه انجام دهد.
این نقص امنیتی از یک مدیریت‌کننده سیگنال در سرویس sshd ناشی می‌شود که ممکن است توابع لاگ‌گیری که برای سیگنال‌های ناهمزمان ایمن نیستند را فراخوانی کند. این مدیریت‌کننده سیگنال زمانی فعال می‌شود که یک کلاینت در مدت زمان پیش‌فرض 120 ثانیه‌ای LoginGraceTime نتواند احراز هویت کند.
این مشکل که با یکپارچه‌سازی سرویس blacklistd در FreeBSD مرتبط است، یک وضعیت رقابتی ایجاد می‌کند که مهاجمان با بهره‌برداری از آن می‌توانند کد دلخواه را از راه دور اجرا ‏کنند. نکته مهم این است که کد آسیب‌پذیر در بستر sshd و با دسترسی کامل ادمین (root) اجرا می‌شود و بنابراین مهاجم می‌تواند از آن برای اجرای کد از راه دور و بدون احراز هویت به عنوان کاربر ادمین (root) بهره‌برداری کند.

توصیه‌های امنیتی
FreeBSD برای رفع این آسیب‌پذیری در نسخه‌های زیر وصله‌هایی منتشر کرده است:
•    14.1-RELEASE-p3
•    14.0-RELEASE-p9
•    13.3-RELEASE-p5
به منظور مقابله با آسیب‏پذیری ذکر شده موارد زیر توصیه می‏شود:
•    به ادمین سیستم‌های FreeBSD به شدت توصیه می‌شود که سیستم‌های خود را فوراً به‌روزرسانی کنند.
•    در صورتی که امکان به‏روزرسانی فوری وجود ندارد، می‏توان به صورت موقت در فایل پیکربندی sshd مقدار LoginGraceTime را به 0 تنظیم کرد. توجه شود که با استفاده از این راهکار سیستم‌ همچنان در برابر حملات انکار سرویس آسیب‌پذیر باقی می‌‏ماند.
 

منابع خبر:


[1] https://cybersecuritynews.com/openssh-vulnerability-freebsd
[2] https://www.freebsd.org/security/advisories/FreeBSD-SA-24:08.openssh.asc

کشف آسیب‌پذیری افشای اطلاعات در Microsoft Office

تاریخ ایجاد

شرکت مایکروسافت به تازگی از یک آسیب‌پذیری روز صفر(Zero-Day) در نرم‌افزار Microsoft Office خبر داده ‌است که در صورت بهره‌برداری موفق، می‌تواند منجر به افشای غیرمجاز اطلاعات حساس شده و محرمانگی را به خطر اندازد. این آسیب‌پذیری با شناسه CVE-2024-38200 و شدت بالا و امتیاز CVSS 7.5 ردیابی شده‌ و یک نقص افشای اطلاعات (Information Disclosure) ناشی از پردازش نامناسب داده‌ها توسط نرم‌افزار می‌باشد. مشکل به دلیل یک ورودی ناشناخته ایجاد می‌شود که می‌تواند یک فایل یا داده‌ای باشد که نرم‌افزار Office به طور نادرست آن را پردازش می‌کند.
در سناریوی حمله‌ی مبتنی بر وب، مهاجم فایلی که برای بهره‌برداری از این آسیب‌پذیری طراحی شده است را بر روی یک وب‌سایت که خودش میزبان آن است یا وب‌سایتی با قابلیت پذیرش محتوای کاربران که مهاجم آن را تحت کنترل دارد، قرار می‌دهد. سپس باید برای اینکه کاربران از سایت بازدید کنند، اطمینان آنان را از طریق ارسال یک لینک در ایمیل یا پیام فوری، جلب کند تا روی لینک کلیک کرده و سپس فایل مخرب را باز کنند. زمانی که این فایل در نرم‌افزار Office باز می‌شود، آسیب‌پذیری فعال شده و امکان افشای اطلاعات حساس فراهم می‌شود.
به گفته‌ی محققان، بهره‌برداری از این آسیب‌پذیری بسیار آسان است و نیازی به احراز هویت ندارد و می‌تواند از راه دور انجام شود.

محصولات تحت تاثیر
نسخه‌های ۳۲ بیتی و ۶۴ بیتی نرم‌افزارهای Microsoft Office 2016، Microsoft Office 2019، Microsoft 365 Apps for Enterprise و Microsoft Office LTSC 2021 آسیب‌پذیر هستند.
 

توصیه‌های امنیتی
مایکروسافت اعلام کرده است که یک به‌روزرسانی رسمی برای رفع این آسیب‌پذیری در تاریخ ۱۳ آگوست منتشر خواهد شد. اما تا آن زمان، انتشار تدریجی به‌روزرسانی‌ها در مقیاس‌های کوچک (Feature Flighting) را فعال و تأکید کرده که در تمام نسخه‌های پشتیبانی‌شده از آفیس و Microsoft 365 این محافظت به کار گرفته‌ شده ‌است. با این حال توصیه می‌شود که برای امنیت بیشتر، کاربران به محض در دسترس بودن به‌روزرسانی نهایی، آن را نصب کنند.
این شرکت همچنین سه استراتژی کاهش خطر را پیشنهاد کرده است:

  •  پیکربندی تنظیمات "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" برای مدیریت و کنترل ترافیک NTLM خروجی به سرورهای راه دور. ترافیک NTLM شامل داده‌هایی است که در فرآیند احراز هویت بین سیستم‌ها رد و بدل می‌شود.
  •  افزودن کاربران به گروه امنیتی Protected Users که مانع از استفاده از NTLM به عنوان مکانیزم احراز هویت می‌شود. Protected Users یکی از ویژگی‌های امنیتی ویندوز است که برای محافظت بیشتر از حساب‌های کاربری حساس در برابر تهدیدات امنیتی طراحی شده است. این گروه امنیتی در نسخه‌های جدید ویندوز سرور و کلاینت (ویندوز 8.1 به بعد) معرفی شده است و شامل مجموعه‌ای از محدودیت‌ها و سیاست‌های امنیتی است که به‌طور پیش‌فرض برای اعضای این گروه اعمال می‌شود.
  • مسدود کردن خروجی TCP 445/SMB از طریق فایروال پیرامونی، فایروال محلی و تنظیمات VPN به منظور جلوگیری از ارسال پیام‌های احراز هویت NTLM به منابع خارجی راه دور.
     

منابع خبر:


[1] https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
[2] https://vuldb.com/?id.274028

فعال شدن آسیب‌پذیری‌های قدیمی به دلیل شکاف امنیتی در به‌روز‌رسانی‌های ویندوز

تاریخ ایجاد

مایکروسافت اعلام کرده است که در حال توسعه به‌روزرسانی‌های امنیتی برای رفع دو آسیب‌پذیری روز صفر(Zero-Day)  است که می‌تواند برای اجرای حملات کاهش سطح (Downgrade Attack) علیه به‌روزرسانی ویندوز مورد بهره‌برداری  قرار گیرد. این نقص‌ها می‌توانند نسخه‌های فعلی فایل‌های سیستم‌عامل را با نسخه‌های قدیمی‌تر جایگزین کنند و این حمله که "Windows Downdate" نام گرفته می‌تواند سیستم‌های ویندوز را از حالت به‌روز خارج کرده و آسیب‌پذیری‌های قدیمی را به آن‌ها بازگرداند.
جزئیات دو آسیب‌پذیری روز صفر ذکر شده به شرح زیر است:

  • آسیب‌پذیری با شناسه‌ی CVE-2024-38202 که با شدت بالا و شدت CVSS 7.3 شناسایی شده است، یک نقص امنیتی افزایش سطح دسترسی در فرایند به‌روزرسانی ویندوز است. این آسیب‌پذیری مهاجمی با دسترسی‌های کاربری پایه را قادر می‌سازد تا آسیب‌پذیری‌هایی که قبلاً رفع شده‌اند را دوباره فعال کند یا برخی از ویژگی‌های امنیتی مبتنی بر مجازی‌سازی (VBS) را دور بزند.

VBS(Virtualization-Based Security) یک ویژگی امنیتی پیشرفته در ویندوز است که از فناوری مجازی‌سازی برای ایجاد محیط‌های امن و جداگانه در حافظه‌ی سیستم استفاده می‌کند. این محیط‌ها برای حفاظت از کدهای حیاتی سیستم و ذخیره اطلاعات حساس مانند اعتبارنامه‌های کاربران طراحی شده‌اند. این اعتبارنامه‌ها شامل توکن‌های امنیتی، رمزهای عبور و اطلاعات احراز هویت و مجوزهای مربوط به کاربر می‌باشند.
در شرایط عادی، ویندوز به‌روزرسانی‌های جدید را دریافت و نصب می‌کند تا از جدیدترین قابلیت‌های امنیتی و رفع نقص‌های موجود بهره‌مند شود. اما این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا روند به‌روزرسانی را به گونه‌ای دستکاری کنند که به جای نصب نسخه‌های جدیدتر و امن‌تر، اجزای اصلی سیستم‌عامل به نسخه‌های قدیمی‌تر و آسیب‌پذیر بازگردانده شوند. در نتیجه، سیستم به‌روز به نظر می‌رسد، اما در واقع با آسیب‌پذیری‌های قدیمی و رفع‌نشده روبروست و بدین ترتیب ابزارهای بازیابی و اسکن نیز قادر به شناسایی این نقص نخواهند بود.
با این حال، مایکروسافت خاطرنشان کرده است که مهاجم برای بهره‌برداری از این نقص ابتدا باید یک مدیر سیستم یا کاربری با دسترسی‌های ویژه را متقاعد کند تا یک بازیابی سیستم انجام دهد که به‌طور ناخواسته این آسیب‌پذیری را فعال می‌کند.

  • آسیب‌پذیری با شناسه CVE-2024-21302 و شدت متوسط و شدت CVSS 6.7 که یک نقص افزایش سطح دسترسی در حالت هسته امن ویندوز (Windows Secure Kernel Mode) است. در سیستم‌های ویندوز که از VBS پشتیبانی می‌کنند، به مهاجم اجازه می‌دهد تا نسخه‌های فعلی فایل‌های سیستم ویندوز را با نسخه‌های قدیمی جایگزین کند. این نقص همچنین می‌تواند برای بازیابی مجدد نقص‌های امنیتی قبلاً وصله‌شده، دور زدن برخی ویژگی‌های VBS، و استخراج اطلاعات محافظت‌شده توسط VBS مورد استفاده قرار گیرد.

به گفته محققی که حمله‌ "Windows Downdate" را معرفی کرده است، این روش حمله می‌تواند یک سیستم ویندوز کاملاً به‌روز را در معرض هزاران آسیب‌پذیری قدیمی قرار دهد و عملاً مفهوم "کاملاً به‌روز" را برای هر سیستم ویندوزی در جهان بی‌معنی کند.
این شیوه می‌تواند فرآیند به‌روزرسانی ویندوز را به نحوی تحت کنترل درآورد که امکان کاهش سطح به‌روزرسانی‌ها به شکلی نامحسوس، پایدار و غیرقابل بازگشت در اجزای حساس سیستم‌عامل فراهم شود.

علاوه بر این، "Windows Downdate"  قادر است مراحل اجرای Trusted Installer را دور بزند، به طوری که امکان کاهش سطح به‌روزرسانی اجزای حساس سیستم‌عامل، از جمله کتابخانه‌های پیوند پویا (DLL)، درایورها، و هسته NT (New Technology Kernel)  را فراهم کند.
در Error! Reference source not found. دو پردازه که مسئول مدیریت و نصب بروزرسانی‌ها هستند مشاهده می‌شوند.Update Server Process  مسئول نهایی به‌روزرسانی فایل‌های حیاتی است که با فرمان‌پذیری از Trusted Installer به جریان می‌افتد. از طرفی Update Client Process  که تحت کنترل Administrator است، به طور مستقیم توان تغییر فایل‌های سیستم را ندارد و بیشتر به عنوان یک درخواست‌کننده عمل می‌کند. مهاجم با ارتقاء سطح دسترسی به Administrator می‌تواند فرایند Update Client Process  را کنترل کرده و از طریق راه ارتباطی COM (یک ارتباط بین پردازه‌ای) اجرای Trusted Installer را دور بزند و دستورات مخرب به‌روزرسانی فایل‌های سیستم را به Update Server Process ارسال کند. با بازگرداندن نسخه‌های آسیب‌پذیر قبلی این فایل‌ها، موفق می‌شود آسیب‌پذیری‌هایی که قبلاً برطرف شده‌اند را دوباره فعال کرده و امنیت سیستم را کاهش دهد.
در این حمله، سیستم‌عامل گزارش می‌دهد که سیستم کاملاً به‌روز است و همزمان از نصب به‌روزرسانی‌های جدید جلوگیری کرده و مانع شناسایی توسط ابزارهای بازیابی و اسکن می‌شود.
به گفته محققان، با توجه به این که ویژگی‌های VBS مایکروسافت در سال ۲۰۱۵ معرفی شد، امکان حمله‌ی "Windows Downdate"  تقریباً یک دهه است که وجود دارد.
 

محصولات تحت تاثیر
تمامی سیستم‌هایی که از ویندوز 10 و 11 استفاده می‌کنند، سرورهای ویندوزی ۲۰۱۶  و بالاتر و نسخه‌هایی از ماشین‌های مجازی Azure که از VBS پشتیبانی می‌کنند، در معرض خطر هستند.
 

توصیه‌های امنیتی
Microsoft توصیه‌های ذیل را برای کاهش خطرات مرتبط با این آسیب‌پذیری‌ها تا زمان انتشار به‌روزرسانی‌های امنیتی لازم ارائه داده است‌:

  • نظارت بر تلاش‌های دسترسی به فایل‌ها و عملیات‌هایی مانند ایجاد Handle‌ها، خواندن/نوشتن، یا تغییرات در پردازه‌های امنیتی با پیکربندی تنظیمات “Audit Object Access”.
  • نظارت بر استفاده از مجوزهای حساس با استفاده از ابزارهایی که برای شناسایی دسترسی‌ها و تغییرات در فایل‌های مرتبط با VBS و Backup طراحی شده‌اند.
  • بررسی گزارشات خطر با استفاده از Microsoft Entra ID Protection و Azure Active Directory و فعال کردن “احراز هویت چند مرحله‌ای” برای کاربران و مدیرانی که در معرض خطر هستند.

با توجه به اینکه هنوز هیچ گونه تلاشی برای بهره‌برداری از این آسیب‌پذیری‌ها گزارش نشده است، Microsoft به کاربران خود توصیه می‌کند تا با رعایت نکات امنیتی فوق و همچنین دنبال کردن به‌روزرسانی‌های آینده، از سیستم‌های خود محافظت کنند.
 

منابع خبر:


[1] https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202

کشف آسیب‌پذیری بحرانی در افزونه Slider پلتفرم 10Web

تاریخ ایجاد

به تازگی یک آسیب‌‌‌پذیری بحرانی با شناسه CVE-2024-7150 و شدت 8.8 در افزونه Slider پلتفرم 10Web ابزار WordPress کشف شده است. این آسیب‌‌‌پذیری از نوع تزریق SQL مبتنی بر زمان و به دلیل نقص ورودی‌‌‌های کاربر و عدم آمادگی کوئری SQL کنونی می‌‌‌باشد و این امکان را به مهاجمان احراز هویت نشده دارای دسترسی در سطح مشارکت‌کننده و بالاتر می‌‌‌دهد تا به کوئری‌‌‌های موجود، کوئری‌‌‌های  SQL اضافه کنند و بدین وسیله اطلاعات حساس پایگاه داده را استخراج کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌پذیری تمامی نسخه‌ها تا نسخه 1.2.57 را تحت‌تأثیر قرار می‌‌‌دهد.

توصیه‌های امنیتی
این آسیب‌‌‌پذیری با ارتقای افزونه به نسخه 1.2.58 و بالاتر رفع می‌‌‌شود.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-7150

چندین آسیب‌پذیری اجرای کد دلخواه در مرورگر گوگل کروم

تاریخ ایجاد

چندین آسیب‌پذیری در مرورگر گوگل کروم شناسایی شده است که ممکن است به اجرای کد دلخواه منجر گردد. مهاجمان در صورت بهره‌برداری از این آسیب‌پذیری‌ها می‌توانند کد دلخواه خود را در سمت کاربر اجرا نموده و به داده‌ها دسترسی پیدا کند و یا تغییراتی غیرمجاز ایجاد نمایند. میزان آسیب، به سطح دسترسی‌های کاربر بستگی دارد و کاربر با سطح مدیریتی بالاتر، در معرض خطر بیشتری خواهد بود. اهم این آسیب‌‌پذیری‌های گزارش شده به صورت زیر است:
CVE-2024-7532: دسترسی به حافظه خارج از محدوده
CVE-2024-7533: استفاده پس از آزادسازی حافظه
CVE-2024-7550: سردرگمی نوع داده‌ها
CVE-2024-7534: بافر سرریز در حافظه

محصولات تحت تأثیر

  • نسخه‌های گوگل کروم قبل از 127.0.6533.99 در سیستم عامل‌های ویندوز، لینوکس و مک
     

توصیه‌های امنیتی

  • اعمال بروزرسانی به نسخه 127.0.6533.99 و بالاتر
  • مدیریت حساب‌های پیش‌فرض و محدود کردن حساب‌های مدیر
  • محدود کردن اجرای کد در یک محیط مجازی sandbox
  • محدود کردن استفاده از وب‌سایت‌های خاص و استفاده از خدمات فیلترینگ DNS filtering services و  مسدود کردن انواع فایل‌های غیرضروری
  • آموزش کارکنان در رابطه با خطرات لینک‌های مشکوک در ایمیل‌ها و شناسایی حملات مهندسی اجتماعی


منبع خبر:


 https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…