مایکروسافت طبق روال هر ماه ، این ماه هم Patch Tuesday رو ارائه داد، در این بروزرسانی بطور کلی 84 نقص اصلاح شده.
در آپدیت این ماه طبقه بندی آسیب پذیری ها به شرح زیر هستش :
سیزده آسیب پذیری از 84 آسیب پذیری ، بحرانی طبقه بندی شدن و امکان اجرای کد از راه دور و افزایش امتیاز میدن و بقیه هم مهم عنوان شدن.
نکته ای که در این بروزسانی جالبه اینکه ، مایکروسافت برای دو آسیب پذیری CVE-2022-41040 و CVE-2022-41082 که بعنوان ProxyNotShell شناخته میشه، هنوز اصلاحیه ای نداده و گفته که فعلا آماده نیست.
آسیب پذیری با شناسه CVE-2022-41033
این آسیب پذیری در Windows COM+ Event System Service رخ میده و امکان افزایش امتیاز به کاربر SYSTEM رو برای مهاجم فراهم میکنه. این آسیب پذیری توسط مهاجمین اکسپلویت و از اون استفاده هم شده.
آسیب پذیری با شناسه CVE-2022-41043 :
این آسیب پذیری در Microsoft Office وجود داره و از نوع Information Disclosure هستش که توسط Cody Thomas از SpecterOps کشف و گزارش شده.مهاجمین با این آسیب پذیری امکان دسترسی به توکن های احراز هویت کاربران رو دارن. آفیس و ورد دارای آسیب پذیری های اجرای کد از جمله CVE-2022-38048 و CVE-2022-38049 رو هم دارن.
آسیب پذیری با شناسه CVE-2022-41038 :
این آسیب پذیری در Microsoft SharePoint هستش و امکان اجرای کد به مهاجم رو میده.برای اکسپلویت کردن این آسیب پذیری مهاجم باید تو سایت هدف با پرمیشن دسترسی به manage lists احراز هویت کنه. علاوه بر این آسیب پذیری چند آسیب پذیری دیگه هم در SharePoint وجود داره اما مایکروساف گفته این آسیب پذیری احتمال اینکه اکسپلویت بشه زیاده.
آسیب پذیری با شناسه CVE-2022-37968 :
این آسیب پذیری در Azure Arc Connect هستش و بالاترین امتیاز تو آسیب پذیری های این ماه رو داره، 10 از 10. اکسپلویت موفق این آسیب پذیری روی ویژگی cluster connect در Azure Arc-enabled Kubernetes تاثیر میزاره و این امکان رو میده تا مهاجم بدون احرازهویت شده به امتیاز cluster admins دست پیدا کنه و کنترل کل Kubernetes cluster رو بدست بگیره.
آسیب پذیری با شناسه های CVE-2022-22035 و CVE-2022-24504 و CVE-2022-30198 و CVE-2022-33634 و CVE-2022-38000 و CVE-2022-38047 و CVE-2022-41081 :
این آسیب پذیریها در پروتکل point-to-point tunneling رخ میده.این پروتکل یک پروتکل شبکه ایه که برای ایجاد تونل های VPN بین شبکه های عمومی استفاده میشه. در بین این آسیب پذیریها ، آسیب پذیری CVE-2022-38000 با امتیاز 9 پرریسک هستش ، چون امکان اجرای کد رو روی سرور راه دور میده.
آسیب پذیری با شناسه CVE-2022-37976 :
این آسیب پذیری در Active Directory Certificate Services هستش و اکسپلویت موفق اون باعث میشه مهاجم امتیاز کاربر domain administrator رو بدست بیاره. برای اکسپلویت این آسیب پذیری ، مهاجم با استفاده از یه کلاینت DCOM مخرب ، سرور DCOM وادار میکنه تا از طریق Active Directory Certificate Service (ADCS) احراز هویت کنه و از اعتبار اون برای حمله cross-protocol استفاده میکنه.
آسیب پذیری با شناسه CVE-2022-37979 :
این آسیب پذیری در Hyper-V رخ میده و امکان افزایش امتیاز رو برای مهاجم فراهم میکنه. مهاجم در محیط Nested Hyper-V با این آسیب پذیری امتیاز Level 1 Hyper-V Windows Root OS رو بدست میاره.
آسیب پذیری با شناسه CVE-2022-34689 :
این آسیب پذیری در Windows CryptoAPI وجود داره. مهاجم با این آسیب پذیری میتونه یه گواهی عمومی x.509 رو دستکاری کنه تا هویت اون جعل کنه و از اون برای تأیید اعتبار یا امضای کد استفاده کنه.
علاوه بر بروزرسانی هر ماهه مایکروسافت ، این شرکت یسری ویژگیهای امنیتی خوب هم به ویندوز اضافه کرده از جمله :
اضافه کردن قابلیت تشخیص ترافیک C2 :
این ویژگی به پلتفرم Microsoft Defender for Endpoint (MDE) نسخه enterprise اضافه شده و البته فعلا بصورت پیش نمایش هستش . این ویژگی امکان شناسایی بدافزارهایی که با سرور C2 در ارتباط هستند رو از طریق هوش مصنوعی و ... تشخیص میده.
برای استفاده از این ویژگی نیاز به آنتی ویروس Microsoft Defender Antivirus با real-time protection و cloud-delivered protection فعال ، MDE در حالت فعال و network protection در حالت بلاک و نسخه 1.1.17300.4 یا بالاتر هستش. همچنین در Windows 10 version 1709 یا بالاتر و Windows Server 1803 و Windows Server 2019 یا بالاتر کار میکنه.
شناسایی و مسدود کردن حملات بروت فورس روی اکانتهای local administrator:
این ویژگی قبلا در ویندوز 11 ارائه شده بود و اگر کاربری 10 بار اطلاعات حساب اشتباه وارد می کرد ، ویندوز به مدت 10 دقیقه اون حساب رو مسدود میکرد. در نتیجه حملاتی که روی RDP یا حساب های لوکال در حملات بازیگران تهدید بخصوص باج افزارها انجام میشد رو کاهش میده.
این ویژگی با بروزرسانی اکتبر روی تمام ویندوزها قابل اعمال هستش. برای استفاده از این خط مشی وارد بخش تنظیمات Group policy بشید و به مسیر زیر برید :
Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policies
همچنین مایکروسافت اعلام کرده که تمام حسابهای local administrator برای پسورد مجبور هستن از 4 نوع کاراکتر ، lower case و upper case و عدد و سیمبل ، استفاده کنن.
شناسایی و پیشگیری از حملات LSASS credential dumping:
یکی از تکنیکهایی که در اغلب حملات استفاده میشه ، دامپ کردن پروسس LSASS برای استخراج اعتبارنامه ها هست تا با اونا امکان حرکات جانبی و ... رو انجام بدن. مایکروسافت اعلام کرده که امکان شناسایی 15 نوع دامپ در Defender for Endpoint رو فراهم کرده. مایکروسافت میگه تونستن تو آزمایشهایی که انجام دادن 100 درصد این حملات رو تشخیص بدن حتی اگه LSASS ASR و Protective Process Light (PPL) خاموش باشه. در زیر لیست این 15 روش رو میبنیم:
اضافه شدن RSS feed به بخش Security Update Guide :
مایکروسافت اعلام کرده که اطلاع رسانی های در خصوص بروزرسانی های امنیتی جدید رو با RSS در قسمت SUG هم فعال کرده. این ویژگی به دلیل درخواست مشتریان انجام شده. برای دسترسی میتونید از اینجا یا آیکون RSS در SUG استفاده کنید. برای خوندن RSS نیاز به برنامه یا افزونه خواهید داشت.
پایان پشتیبانی برای Windows 10, version 21H1 از 13 اکتبر 2022 (21 مهر 1401 ) :
مایکروسافت همچنین هشداری هم در خصوص عدم پشتیبانی از Windows 10 version 21H1 صادر کرده. این نسخه ها دیگه بروزرسانی امنیتی دریافت نمیکنن. کاربرانی که از این نسخه ها استفاده میکنن یا باید سیستموشن رو به نسخه های جدیدتر ارتقاء بدن یا تمهیداتی رو در نظر بگیرن تا در معرض حملات قرار نگیرن. آخرین بروزرسانی امنیتی برای این نسخه ها 13 دسامبر بوده.لیست کامل :
علاوه بر مایکروسافت ، کمپانی زیر هم بروزرسانی های امنیتی رو منتشر کردن :
ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام
دریافت نشریه تخصصی امنیت سایبری ONHEX : شماره اول | شماره دوم