وصله‌های سه‌شنبه سپتامبر با دو باگ ارتقا سطح دسترسی (elevation-of-privilege) همراه است که به صورت گسترده مورد سوءاستفاده قرار گرفته‌اند.

دو آسیب پذیری ارتقا سطح دسترسی (elevation-of-privilege) روز صفرم که به طور گسترده مورد سوءاستفاده قرار گرفته‌اند، بخش اصلی به روزرسانی مایکروسافت در “سه‌شنبه وصله” سپتامبر را تشکیل می‌دهند.

CVE-2019-1214 در سیستم فایل لاگ ویندوز (CLFS) و CVE-2019-1215 با تاثیر روی درایور Winsock IFS (ws2ifsl.sys) دو آسیب پذیری EoP تحت حمله فعال هستند.

Satnam Narang، مهندس ارشد تحقیقات در Tenable در ایمیلی گفت: « وجود هر دو نقص به دلیل کنترل نادرست آبجکتها در حافظه توسط درایور مربوط به آن است. هنگامی که مهاجین موفق به دستیابی به یک سیستم شوند، به صورت post-compromise از آسیب‌پذیری‌های ارتقا دسترسی (Elevation-of-privilege) استفاده می‌کنند تا بتوانند با سطح دسترسی بالا، کد را در سیستم‌های هدف خود اجرا کنند. »

طبق گفته Dustin Childs در Trend Micro’s Zero-Day Initiative، آسیب‌پذیری CVE-2019-1215 باید در صدر فهرست وصله مدیران قرار گیرد.

وی در تحلیل و بررسی سه‌شنبه وصله گفت: « مهاجمی که از این آسیب‌پذیری سوءاستفاده می‌کند، می‌تواند از سطح کاربر به سطح دسترسی مدیر ارتقاء پیدا کند. مایکروسافت گزارش کرده است که این آسیب‌پذیری بصورت فعال علیه هر دو سیستم عامل پشتیبانی شده‌ی جدید و قدیمی‌تر مورد استفاده قرار می‌گیرد، اما محل دقیق آن را مشخص نمی‌کند. جالب اینجاست که این فایل در گذشته مورد هدف بدافزارها قرار گرفته است و برخی مراجع تاریخ آن را ۲۰۰۷ بیان می‌کنند. جای تعجب وجود ندارد زیرا بدافزارها اغلب سرویس‌های سطح پایین ویندوز را هدف قرار می‌دهند. »

به گفته مایکروسافت، باگ EoP فقط سیستم عامل‌های قدیمی را مورد هدف قرار داده است. Childs گفت: « زمان مناسبی برای یادآوری است که کمتر از شش ماه به پایان پشتیبانی ویندوز ۷ باقیست و به این معنی است که شما در ماه فوریه آینده برای این چنین اشکالاتی هیچ بروزرسانی دریافت نخواهید کرد. سیستم‌های خود را وصله نمایید و سپس روی استراتژی ارتقاء سیستم خود کار کنید.»

مایکروسافت در کل ۷۹ مورد CVE را در ماه سپتامبر وصله کرد. این CVEها بر روی Microsoft Windows، Internet Explorer، Microsoft Edge، ChakraCore، Office و Microsoft Office Services و Web Apps، Skype for Business و Microsoft Lync، Visual Studio، .NET Framework، Exchange Server، Microsoft Yammer و Team Foundation Server تاثیر می‌گذارند. ۱۷ مورد از آن‌ها “بحرانی” و ۶۲ مورد “متوسط” گزارش شده‌اند.

چهار آسیب‌پذیری بحرانی در Microsoft Remote Desktop Client پیدا شده‌اند (CVE-2019-1290, CVE-2019-1291, CVE-2019-0787, CVE-2019-0788). در پی اعلام باگ مستعد کرم BlueKeep در ماه می (CVE-2019-0708) و گروهی از نقص‌ها با نام “DejaBlu” در آگوست که آن‌ها نیز بر Remote Desktop Client تاثیر دارند، موارد فوق توسط تیم تحقیقات داخلی مایکروسافت مشخص شده‌اند.

Narang توضیح داد: « برخلاف BlueKeep و DejaBlue، در جایی که مهاجمین سرورهای آسیب‌پذیر Remote Desktop را هدف قرار می دهند، این آسیب پذیری‌ها نیازمند این هستند که حمله‌کننده کاربر را برای اتصال به یک سرور Remote Desktop متقاعد کند. همچنین مهاجمان می‌توانند به سرور‌های آسیب‌پذیر نفوذ کرده و کد مخرب را روی آنها میزبان کنند و منتظر بمانند تا کاربران به آنها متصل گردند.»

به لطف روش کنترل آبجکتها در حافظه توسط موتور VBScript، یکی دیگر از باگ‌های بحرانی (CVE-2019-1208) به مهاجمان اجازه‌ی اجرای کد از راه دور را می‌دهد. مایکروسافت اظهار داشت مهاجمی که با موفقیت از این آسیب پذیری سوءاستفاده کرده است، می‌تواند از حقوق همان کاربر فعلی برخوردار شود (بنابراین اگر کاربر فعلی با حقوق کاربر اجرایی (administrative) وارد شده باشد، یک مهاجم می‌تواند کنترل سیستم درگیر را به دست آورد و به نصب برنامه‌ها بپردازد، داده‌ها را تغییر داده یا پاک کند و یا حساب‌های جدید با حقوق کاربری کامل ایجاد نماید.)

با توجه به مشاوره: « در سناریوی حمله مبتنی بر وب، یک مهاجم می‌تواند یک وب سایت دستکاری شده خاص داشته باشد که برای سوءاستفاده از آسیب پذیری از طریق اینترنت اکسپلورر طراحی شده است و سپس کاربر را متقاعد کند تا وب سایت را مشاهده نماید. همچنین می‌تواند یک ActiveX control با عنوان “safe for initialization” را در یک برنامه یا سند Microsoft Office که میزبان موتور رندر (render) اینترنت اکسپلورر است، نصب کند. همچنین مهاجم می‌تواند از وب سایت‌های هک شده و وب سایت‌هایی که محتوا یا تبلیغات ارائه شده توسط کاربر را می‌پذیرند، استفاده کند. این وب سایت‌ها می‌توانند دارای محتوایی خاص باشند که می‌توانند از این آسیب‌پذیری سوءاستفاده کنند.»

۹ مورد از وصله‌های بحرانی، باگ‌هایی که توسط مرورگر  مورد سوءاستفاده قرار می‌گیرند را رفع می‌کنند؛ و یک مورد باگ موجود در Azure DevOps (ADO) و Team Foundation Server (TFS) (CVE-2019-1306) را مرتفع می‌نماید که به مهاجم اجازه می‌دهد تا کد دلخواه را بر روی سرور در context حساب سرویس‌دهی TFS یا ADO اجرا کند.

Childs اظهار داشت: « یک مهاجم برای آپلود فایل در یک repo هدف، نیاز به مجوزها دارد اما اگر موفق به آپلود شود، قادر است به محض فهرست شدن فایلشان توسط سرور آسیب دیده، آن را به مرحله اجرای کد برساند. »

به طور مشابه، یک باگ deserialization در سرویس اتصال داده‌های تجاری (Business Data Connectivity Service) وجود دارد. Childs خاطرنشان کرد: « برای این مورد خاص، یک مهاجم می تواند با بارگذاری یک بسته کاربردی ویژه SharePoint ساخته شده روی یک سرور آسیب دیده، کد خود را در چارچوب هویت برنامه کاربردی SharePoint اجرا کند. به طور عادی، برای بارگذاری چنین بسته ای نیاز به تأیید اعتبار دارد (مگر اینکه دسترسی ناشناس را فعال کرده باشید).

همچنین، یکی از وصله‌های مهم به آسیب پذیری موجود در مایکروسافت ویندوز (CVE-2019-1280) می پردازد که در صورت پردازش فایل .LNK، اجازه‌ی اجرای از راه دور کد را می‌دهد.

طبق مشاوره مایکروسافت: « مهاجم می‌تواند یک درایو جدا شدنی یا دارای قابلیت اشتراک از راه دور را به کاربر ارائه دهد که در آن یک فایل .LNK مخرب و یک باینری مخرب مرتبط وجود دارد. هنگامی که کاربر این درایو (یا اشتراک از راه دور) را در Windows Explorer یا هر برنامه ی دیگری که فایل .LNK را پردازش می‌کند، باینری مخرب کد مورد نظر حمله کننده را روی سیستم هدف اجرا خواهد نمود. »

این غول محاسباتی همچنین یک بروزرسانی سرویس پشته را برای کلیه سیستم عامل‌ها منتشر کرد که در آغاز ماه اکتبر شروع به کار خواهد کرد.

Chris Goettl، رئیس مدیریت محصولات و امنیت Ivanti گفت: « معمولاً این نسخه‌ها برای یک یا چند نسخه ویندوز منتشر می‌شوند، بنابراین این که همه سیستم عامل‌های ویندوز تحت تأثیر این مورد قرار بگیرند، تا حدودی دور از انتظار است. این موارد با عنوان “بحرانی” ارزیابی می‌شوند اما آسیب‌پذیری‌های امنیتی را برطرف نمی‌کنند. و این که جزئی از زنجیره بروزرسانی تجمعی نیستند. آنها بروزرسانی جداگانه‌ای هستند که باید خارج از بسته نرم‌افزاری معمولی تجمعی یا امنیتی نصب شوند. این یک بروزرسانی مهم برای سیستم به روز رسانی مایکروسافت در سیستم عامل است؛ به این معنی که برخی تغییرات به روز‌های پایانی خود رسیده‌اند و روزی خواهد رسید که در صورت عدم بروزرسانی Servicing Stack نمی‌توانید ویندوز خود را بروز کنید. »