معرفی اکسپلویت

پلتفرم آسیب‌پذیر: Microsoft Windows

نسخه‌های آسیب‌پذیر: تمام نسخه ها

تاریخ ارائه وصله امنیتی: ۱۷ مرداد ۱۴۰۲

نوع آسیب‌پذیری: Remote Code Execution

درجه خطر CVSSv3: High 8.3

وضعیت استفاده:‌ فعال (در حال بهره‌برداری توسط نفوذگران)

توضیحات فنی

در به‌ روزرسانی‌های امنیتی ماه جولای ۲۰۲۳، مایکروسافت مجموعا ۱۳۲ نقص شامل ۹ آسیب‌پذیری با شدت بحرانی و همچنین ۶ آسیب‌پذیری روز صفر بود. این در حالی است که آسیب‌پذیری با شناسه CVE-2023-36884 در مایکروسافت آفیس و ویندوز که با استفاده از اسناد مایکروسافت آفیس مخصوص می‌تواند مورد سوء استفاده قرار گیرد، هنوز وصله‌ نشده است. به طور کلی بهره‌برداری موفقیت‌آمیز از این باگ امنیتی منجر به اجرای کد از راه دور بر روی دستگاه قربانی می‌شود.

بنابر گزارش‌های symantec enterprise و cyble تاکنون آسیب‌پذیری روز صفر یاد شده در حملاتی بسیار هدفمند علیه سازمان‌های مختلف استفاده شده و به گزارش Microsoft Threat Intelligence: در حال حاضر عوامل تهدید گروه Storm-0978 از نوع RomCom و برخی باج افزارهای زیرزمینی نیز در حملاتی هدفمند، به طور فعال از این نقص سؤاستفاده می‌کنند. مایکروسافت اعلام کرد که پس از تکمیل بررسی‌ها، به منظور محافظت از کاربران خود اقدامات مناسبی انجام خواهد داد که ممکن است شامل ارائه به روزرسانی امنیتی از طریق فرآیند انتشار ماهانه یا ارائه به روز رسانی امنیتی خارج از چرخه (out-of-cycle) با توجه به نیاز کاربر باشد.
در پی سوا‌ل‌های کاربران در خصوص این آسیب‌پذیری روز صفر مایکروسافت، به اطلاع می‌رساند که پادویش نمونه‌های شناخته شده در دو گزارش enterprise و cyble را شناسایی و محافظت در برابر این تهدید را برای کاربران فراهم می‌کند.

روش سوءاستفاده از این آسیب پذیری به این صورت است که بوسیله فایل آفیس مخصوص-ساخته شده پردازه ی آفیس اقدام به بازکردن پردازه هایی مانند CMD.exe و یا Powershell.exe به عنوان فرزند (Child) می کند و از طریق آن اقدام به اجرای دستورات مخرب می نماید.

مایکروسافت در تاریخ August 8, 2023 وصله‌های مربوط به این آسیب‌پذیری را ارائه کرد.

نسخه‌های آسیب‌پذیر

تمامی نسخه‌های ویندوز کلاینت (7 الی 11)

تمامی نسخه‌های ویندوز سرور ‌(2008 الی 2022)

نحوه وصله آسیب‌پذیری

آپدیت: در تاریخ ۱۷ مرداد ۱۴۰۲ از سوی میکروسافت آپدیتی برای این آسیب‌پذیری منتشر شده است. جهت نصب به لینک زیر مراجعه و آپدیت مناسب را از جدول مربوطه دریافت نمایید:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

بهترین راهکار جهت مقابله با این آسیب‌پذیری نصب وصل ارائه شده توسط مایکروسافت می‌باشد. با این حال راهکار جایگزین که ممکن است اثرات جانبی نیز به همراه داشته باشد در ادامه آورده شده است.
به منظور مقابله با تهدیدات احتمالی و جهت حصول اطمینان از امنیت سیستم خود،‌ توصیه می‌شود ضمن نصب آنتی‌ویروس پادویش، بلافاصله اقدام‌های کاهش دهنده خطر که پیش از ارائه وصله توسط مایکروسافت توصیه شده بود را انجام دهید:

کاربران Microsoft Defender for Office و کسانی که از (ASR) یا کاهش سطح حمله “Block all Office applications from creating child processes“ استفاده می‌کنند، در برابر پیوست‌هایی که سعی در سوء استفاده از این آسیب‌پذیری دارند،‌ ایمن هستند.
روش دیگر اینکه می توانید نام برنامه‌های Excel.exe، Graph.exe، MSAccess.exe، MSPub.exe،‌ PowerPoint.exe، Visio.exe،‌ WinProj.exe،‌ WinWord.exe،‌ Wordpad.exe را به عنوان مقادیری از نوع REG_DWORD با data 1 به کلید رجیستری زیر اضافه کنید.
```
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
```

پیشنهاد می شود این تغییرات را از طریق ActiveDirectory روی تمام سیستم های شبکه اعمال کنید.
همچنین از طریق اجرای ابزار تعبیه شده زیر با دسترسی ادمین، تغییرات مذکور به صورت خودکار اعمال می شوند: CVE-2023-36884_Mitigation

ذکر این نکته مهم است که این امکان وجود دارد که با اعمال تغییرات ذکر شده در رجیستری، بعضی کارکرد های نرم افزار های ذکر شده دچار اختلال شود.