اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی ژانویه 2023

به گزارش مرکز مدیریت راهبردی افتا، اصلاحیه‌های مذکور حدود 100 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 11 مورد از آسیب‌پذیری‌های ترمیم شده این ماه «حیاتی» (Critical) و اکثر موارد دیگر «مهم» (Important) اعلام شده است.
این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:
•    «ترفیع اختیارات» (Privilege escalation)
•    «اجرای کد از راه دور» (Remote Code Execution)
•    «افشای اطلاعات» (Information Disclosure)
•    «از کاراندازی سرویس» (Denial of Service – به اختصار DoS)
•    «عبور از سد امکانات امنیتی» (Security Feature Bypass)
•    «جعل» (Spoofing)
دو مورد از آسیب‌پذیری‌های ترمیم شده این ماه (شناسه‌های CVE-2023-21674 و CVE-2023-21549)، از نوع «روز-صفر» هستند که از یک مورد آن (CVE-2023-21674) به طور گسترده در حملات سوء‌استفاده شده است. 
مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
در ادامه به بررسی جزئیات ضعف‌های امنیتی روز صفر که در ماه میلادی ژانویه 2023 توسط شرکت مایکروسافت ترمیم شده‌اند، می‌پردازیم.
•    CVE-2023-21549: این ضعف امنیتی که به طور عمومی افشاء شده، دارای درجه اهمیت «مهم» بوده و از نوع «ترفیع اختیارات» است. این ضعف امنیتی بر Windows SMB Witness Service تاثیر می‌گذارد. مهاجم جهت بهره‌جویی از این آسیب‌پذیری باید یک اسکریپت مخرب خاص را اجرا نموده که منجر به یک فراخوانی RPC در سرور RPC می‌شود؛ سوءاستفاده موفق از آن مهاجم را قادر به افزایش امتیازات بر روی سرور می‌کند.
•    CVE-2023-21674: این آسیب‌پذیری روز صفر دارای درجه اهمیت «مهم»  بوده و از نوع «ترفیع اختیارات» است و Windows Advanced Local Procedure Call  – به اختصار ALPC – از آن متاثر می‌‌شود. بهره‌جویی از این آسیب‌پذیری می‌تواند منجر به دور زدن Sandbox مرورگر شود؛ سوءاستفاده موفق از آن مهاجم را قادر به کسب امتیازات در سطح SYSTEM می‌کند.
11 مورد از آسیب‌پذیری‌های ترمیم شده این ماه دارای درجه اهمیت «حیاتی» هستند که به نقل از مایکروسافت، احتمال سوءاستفاده از تمام آسیب‌پذیری‌های «حیاتی» این ماه کم است به جز ضعف امنیتی CVE-2023-21743.
در ادامه به بررسی جزئیات این ضعف‌های امنیتی می‌پردازیم. 
•    CVE-2023-21743: این آسیب‌پذیری «حیاتی» از نوع «عبور از سد امکانات امنیتی» است وMicrosoft SharePoint Server  را در شرایطی خاص تحت تاثیر قرار می‌دهد. این آسیب‌پذیری پیچیدگی کمی دارد و می تواند به راحتی توسط یک مهاجم فعال شود. در یک حمله مبتنی بر شبکه، یک کاربر احراز هویت نشده می تواند یک اتصال ناشناس به سرور SharePoint مورد نظر برقرار کند. عمل ارتقاء را می‌توان با اجرای SharePoint Products Configuration Wizard و فرمان Upgrade-SPFarm PowerShell cmdlet یا فرمان psconfig.exe -cmd upgrade -inplace b2b پس از اجرای به‌روزرسانی آغاز کرد.
•    CVE-2023-21551، CVE-2023-21561 و CVE-2023-21730: این سه ضعف امنیتی بر Microsoft Cryptographic Services تاثیر می‌گذارند. این آسیب‌پذیری‌ها می‌توانند توسط یک مهاجم اصالت‌سنجی شده محلی مورد سوءاستفاده قرار گیرند که داده‌های دستکاری شده ویژه‌ای را به سرویس محلی CSRSS ارسال می‌کند. این به مهاجمان اجازه می‌دهد تا امتیازات خود را از بستر AppContainer به دسترسی در سطح SYSTEM ارتقاء دهند.
•    CVE-2023-21556، CVE-2023-21555، CVE-2023-21543، CVE-203-21546 و CVE-2023-21679: این پنج آسیب‌پذیری «حیاتی» از نوع «اجرای کد از راه دور»هستند و بر Windows Layer 2 Tunneling Protocol – به اختصار L2TP – تاثیر می‌گذارند. بهره‌جویی موفق یک مهاجم احراز هویت نشده را قادر می‌سازد تا کد مخرب را روی سرورهای RAS اجرا کند.
•    CVE-2023-21548 و CVE-2023-21535: این دو ضعف امنیتی «حیاتی» به دلیل پیچیدگی‌شان، به «احتمال کمتر» مورد بهره‌جویی قرار خواهند گرفت. هر دو این آسیب‌پذیری‌ها، از نوع «اجرای کد از راه دور» هستند و Windows Secure Socket Tunneling Protocol – به اختصار SSTP –از آنها متاثر می‌شود. از طرفی مهاجم تنها با برنده شدن در شرایط رقابتی (Race Condition) قادر به بهره‌جویی از آن است؛ جهت بهره‌جویی مهاجم احراز هویت نشده می‌تواند اقدام به ارسال یک درخواست دستکاری شده ویژه به سرور آسیب‌پذیر نموده و فرامین غیرمجاز را از راه دور بر روی سیستم اجرا کند.