اگر حفره Edge RCE وصله شده را نادیده بگیرید، در این ماه روز صفر وجود ندارد هفته گذشته (حتماً مطمئن شوید که آن به روز رسانی را دریافت کرده اید):
برای لیست کامل اصلاحات مایکروسافت پچ سه شنبه این ماه، به سایت خواهر ما Sophos News، جایی که تحلیلگران SophosLabs گردآوری کرده اند، نگاهی بیندازید. لیست های کامل از CVE های متعدد مایکروسافت که در این ماه برطرف شد:
دقیقا همانطور که دوست داری
کمک کننده است، محققان ما ایجاد کرده اند لیست های متعدد، به صورت دستی مرتب شده توسط نوع و شدت اشکال (بنابراین می توانید اجرای کد از راه دور خود را از elevations-of-privilege خود تشخیص دهید). با حدس های مایکروسافت در احتمال اینکه کلاهبرداران به سوء استفاده های کاری پی ببرند برای هر اشکال (در صورتی که دوست دارید تلاش های خود را به این ترتیب اولویت بندی کنید)، و توسط نوع محصول (اگر دوست دارید تلاشهای خود را بین تیم سرور، کارشناسان آفیس و گروه پشتیبانی لپتاپ خود تقسیم کنید).
در صورت تعجب، وجود داشت 26 وصله اجرای کد از راه دور (RCE).، از جمله چهار مورد که "بحرانی" نامیده می شوند، اگرچه به نظر می رسد سه مورد از آنها باگ های مرتبطی هستند که با هم در یک جزء ویندوز پیدا شده و برطرف شده اند.
وصلههای RCE معمولاً بیشترین نگرانی را ایجاد میکنند، زیرا با باگهایی سروکار دارند که حداقل در تئوری میتوانند توسط مهاجمانی که هنوز در شبکه شما جای پایی ندارند مورد سوء استفاده قرار گیرند، به این معنی که آنها راههای احتمالی نفوذ و ورود مجرمان را نشان میدهند. در وهله اول.
وجود دارد 17 اصلاحات Elevation-of-Privilege (EoP).که تنها یکی از آنها توسط مایکروسافت "بحرانی" تلقی می شود، از قضا در سرور شیرپوینت، ابزاری است که بسیاری از شرکت ها برای تبادل مقادیر زیادی داده در شبکه های خود به آن تکیه می کنند.
به عبارت دیگر، دسترسی غیرمجاز به شیرپوینت میتواند به مهاجمان یک پاس رایگان بدهد تا مستقیماً به دادههای تروفی خود یا حتی مشتریان شما دسترسی پیدا کنند، همانطور که اخیراً برای شرکتهای متعددی که از سرویس اشتراکگذاری فایل رقیب استفاده میکنند رخ داده است. MOVEit.
همانطور که احتمالاً می دانید، مشکل باگ های EoP این است که اغلب به عنوان مرحله دوم در حمله از خارج مورد سوء استفاده قرار می گیرند و توسط مجرمان سایبری برای افزایش امتیازات دسترسی خود در اسرع وقت پس از نفوذ مورد استفاده قرار می گیرند.
این میتواند منجر به نقض امنیتی شود که با قرار گرفتن در معرض نسبتاً محدود اولیه شروع شد (به عنوان مثال، دسترسی سرکش فقط به فایلهای محلی در لپتاپ یک کاربر)…
... به یک حادثه بسیار خطرناک تر (به عنوان مثال، دسترسی سرکش به لپ تاپ دیگران در سراسر شبکه، و شاید به همه سرورهای شرکت شما، مانند پایگاه های داده مشتریان، سیستم های پرداخت، پشتیبان گیری و موارد دیگر).
سوراخ های قابل توجه
کارشناسان SophosLabs شش مورد از CVE ها را به عنوان "قابل توجه" شناسایی کرده اند.
به ما سر بزنید گزارش طولانی برای اطلاعات بیشتر در مورد آن شش اشکال.
در حال حاضر، ما فقط پنج مورد از آنها را در اینجا فهرست می کنیم:
- CVE-2023-29357. افزایش آسیب پذیری امتیاز سرور شیرپوینت مایکروسافت. این اشکال میتواند به کلاهبردارانی که به شبکه شما دسترسی دارد، اما بدون ورود به سیستم شیرپوینت شما، راهی برای سرقت اعتبار دسترسی یک کاربر قانونی و در نتیجه نادیده گرفتن نیاز به ایجاد نام کاربری، رمز عبور یا نادیده گرفتن آن بدهد. کد 2FA خودشون.
- CVE-2023-29363، -32014 و -32015. آسیب پذیری اجرای کد از راه دور چندپخشی عمومی (PGM) Windows Pragmatic. اگر از سرویس صف پیام ویندوز در شبکه خود استفاده می کنید، این اشکالات می توانند به مهاجمان اجازه دهند تا دستگاهی را در شبکه شما فریب دهند تا کد مورد نظر خود را اجرا کند.
- CVE-2023-33146. آسیب پذیری اجرای کد از راه دور مایکروسافت آفیس. ظاهراً، بنابراین باگ میتواند توسط فایلهای SketchUp به دام افتاده (ما حتی در مورد برنامه SketchUp نشنیدهایم، چه رسد به استفاده از آن، اما ظاهراً این یک برنامه گرافیکی سه بعدی محبوب است) که در طیف گستردهای از فایلهای آفیس، از جمله Word تعبیه شده است، ایجاد شود. ، اکسل، پاورپوینت و Outlook.
به طور جالب توجهی، به نظر می رسد پچ برای CVE-2023-33146 نشانه ای از مشکلات امنیتی حل نشده گسترده تر در پشتیبانی Office برای مدیریت اشیاء SketchUp، احتمالاً به دلیل دشواری تجزیه، پردازش و جاسازی یک فرمت فایل پیچیده دیگر در اسناد آفیس.
در واقع، در 2023-06-01، مایکروسافت رسما اعلام که سیستم تعبیه SketchUp را تا اطلاع ثانوی خاموش می کند (تاکید ما):
قابلیت درج گرافیک SketchUp (فایلهای skp.) به طور موقت در Word، Excel، PowerPoint و Outlook برای Windows و Mac غیرفعال شده است. نسخههای آفیس که این ویژگی را فعال کرده بودند، دیگر به آن دسترسی نخواهند داشت. […] از شکیبایی شما قدردانی می کنیم که برای اطمینان از امنیت و عملکرد این ویژگی تلاش می کنیم.
خزش ویژگی که به موجب آن اشیاء تعبیه شده در فایل های آفیس خطرات امنیتی جدیدی را ایجاد می کنند... چه کسی می دانست؟
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- EVM Finance. رابط یکپارچه برای امور مالی غیرمتمرکز دسترسی به اینجا.
- گروه رسانه ای کوانتومی. IR/PR تقویت شده دسترسی به اینجا.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/06/14/patch-tuesday-fixes-4-critical-rce-bugs-and-a-bunch-of-office-holes/
- : دارد
- :است
- :جایی که
- $UP
- 1
- ٪۱۰۰
- 25
- 2F به
- 3d
- a
- توانایی
- مطلق
- دسترسی
- در میان
- پس از
- معرفی
- اجازه دادن
- تنها
- هر چند
- مقدار
- an
- تحلیلگران
- و
- دیگر
- نرم افزار
- قدردانی
- هستند
- AS
- At
- حمله
- نویسنده
- خودکار
- تصویر پس زمینه
- پشتیبان گیری
- BE
- زیرا
- بوده
- میان
- بالا بردن
- مرز
- پایین
- شکاف
- شکستن
- اشکال
- اشکالات
- دسته
- اما
- by
- CAN
- مورد
- علت
- مرکز
- انتخاب
- رمز
- رنگ
- بیا
- شرکت
- نسبتاً
- رقابت
- پیچیده
- جزء
- نگرانی
- شرکت
- میتوانست
- پوشش
- ایجاد شده
- مجوزها و اعتبارات
- جنایتکاران
- بحرانی
- Crooks
- مشتری
- مجرمان سایبری
- خطرناک
- داده ها
- پایگاه های داده
- مقدار
- تلقی می شود
- دستگاه
- مشکل
- غیر فعال
- نمایش دادن
- اسناد و مدارک
- نمی کند
- آیا
- دوبله شده
- هر
- لبه
- تلاش
- دیگر
- جاسازی شده
- تعبیه کردن
- تاکید
- فعال
- اطمینان حاصل شود
- امنیت را تضمین کند
- حتی
- هر کس
- مثال
- اکسل
- مبادله
- اعدام
- کارشناسان
- سوء استفاده قرار گیرد
- ارائه
- ویژگی
- پرونده
- فایل ها
- نام خانوادگی
- پنج
- ثابت
- برای
- قالب
- یافت
- چهار
- رایگان
- از جانب
- کامل
- قابلیت
- بیشتر
- اطلاع بیشتر
- سوالات عمومی
- عموما
- دریافت کنید
- دادن
- گرافیک
- بود
- دست
- اداره
- اتفاق افتاده است
- آیا
- شنیده
- ارتفاع
- اینجا کلیک نمایید
- سوراخ
- سوراخ
- در تردید بودن
- HTTPS
- شناسایی
- if
- in
- حادثه
- از جمله
- اطلاعات
- اول
- داخل
- به
- معرفی
- طعنه آمیز
- IT
- تنها
- فقط یکی
- دانستن
- لپ تاپ
- بزرگ
- کمترین
- ترک کرد
- قانونی
- پسندیدن
- محدود شده
- فهرست
- محلی
- دیگر
- نگاه کنيد
- مک
- ساخت
- بسیاری
- حاشیه
- حداکثر عرض
- به معنی
- پیام
- مایکروسافت
- ماه
- بیش
- اکثر
- بسیار
- نیاز
- شبکه
- شبکه
- هرگز
- جدید
- اخبار
- نه
- طبیعی
- اطلاع..
- اکنون
- متعدد
- اشیاء
- of
- خاموش
- دفتر
- غالبا
- on
- ONE
- فقط
- or
- دیگر
- ما
- خارج
- چشم انداز
- خارج از
- خود
- عبور
- کلمه عبور
- وصله
- پچ سه شنبه
- پچ های
- پچ کردن
- صبر
- پل
- پرداخت
- سیستم های پرداخت
- شاید
- PGM
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- موقعیت
- ممکن
- پست ها
- عملگرا
- اولویت بندی
- امتیاز
- امتیازات
- شاید
- مشکل
- در حال پردازش
- برنامه
- محدوده
- تازه
- مربوط
- نسبی
- تکیه
- دور
- نشان دادن
- محققان
- راست
- در حال اجرا
- با خیال راحت
- دوم
- ایمن
- تیم امنیت لاتاری
- به نظر می رسد
- به نظر می رسد
- سرور
- سرویس
- نقطه اشتراک
- اشتراک
- تنها
- خواهر
- سایت
- شش
- So
- جامد
- بزودی
- آغاز شده
- گام
- راست
- چنین
- پشتیبانی
- مطمئن
- SVG
- سیستم
- سیستم های
- گرفتن
- تیم
- گفتن
- که
- La
- امنیت
- شان
- آنها
- نظریه
- آنجا.
- اینها
- آنها
- این
- کسانی که
- سه
- به
- با هم
- ابزار
- بالا
- انتقال
- شفاف
- باعث شد
- سه شنبه
- دور زدن
- عطف
- نوع
- تا
- بروزرسانی
- URL
- استفاده کنید
- استفاده
- نام کاربری
- با استفاده از
- بسیار
- آسیب پذیری
- بود
- مسیر..
- راه
- we
- خوب
- بود
- که
- WHO
- وسیع
- دامنه گسترده
- اراده
- پنجره
- با
- تعجب کردم
- کلمه
- کلمات
- مهاجرت کاری
- کارگر
- هنوز
- شما
- شما
- زفیرنت