इवंती: भेद्यता पैच प्राथमिकताकरण सिफारिशें

कमजोरियों (सीवीई) के उपचार को प्राथमिकता देने के लिए जुलाई के पैच मंगलवार और इवांती की सिफारिशों का विश्लेषण। पैच मंगलवार जुलाई 2021 में यह सब है।

हाल के PrintNightmare आउट-ऑफ-बैंड अपडेट के साथ, आगामी त्रैमासिक Oracle CPU, Acrobat और Reader, Mozilla Firefox और Firefox ESR सहित Adobe के अपडेट का एक सूट, और Microsoft के मासिक अपडेट के विशिष्ट सूट, पैच मंगलवार को जुलाई में बहुत सारी सुरक्षा शामिल है कमजोरियां जिन्हें प्राथमिकता के आधार पर संबोधित किया जाना चाहिए।

भेद्यता PrintNightmare

यह PrintNightmare CVE-2021-34527 से शुरू होता है, जिसे जून पैच मंगलवार अपडेट के बाद प्रिंट स्पूलर में एक और भेद्यता के रूप में पहचाना गया था। Microsoft अधिकांश ऑपरेटिंग सिस्टमों के लिए आउट-ऑफ़-बैंड सुरक्षा अद्यतन जारी करने में तत्पर रहा है. जब तक उपयोगकर्ताओं के पास विस्तारित सुरक्षा अद्यतन (ESU) सदस्यता है, तब तक अद्यतन Windows 7 और सर्वर 2008/2008 R2 के लिए उपलब्ध हैं। कंपनी ने एक समर्थन लेख भी प्रदान किया जो बताता है कि अपडेट कैसे काम करते हैं और कुछ अतिरिक्त कॉन्फ़िगरेशन विकल्प प्रदान करते हैं। जिन संगठनों ने अभी तक आउट-ऑफ-बैंड अपडेट स्थापित नहीं किया है, वे इस सीवीई के साथ-साथ तीन नई शून्य-दिन की कमजोरियों को ठीक करने के लिए जुलाई ओएस अपडेट को अपडेट कर सकते हैं।

माइक्रोसॉफ्ट - 100+ सीवीई

Microsoft ने जुलाई में 117 अलग-अलग CVE भी तय किए, जिनमें से 10 को क्रिटिकल रेट किया गया। उनमें से तीन शून्य-दिन की कमजोरियाँ और पाँच सार्वजनिक खुलासे हैं। थोड़ी सी अच्छी खबर: सभी तीन शून्य-दिन और सार्वजनिक रूप से प्रकट की गई पांच कमजोरियों में से तीन को जुलाई OS अपडेट जारी करने के साथ ठीक कर दिया जाएगा। इस महीने के अपडेट विंडोज ऑपरेटिंग सिस्टम, ऑफिस 365, शेयरपॉइंट, विजुअल स्टूडियो और कई मॉड्यूल और घटकों को प्रभावित करते हैं (विवरण के लिए रिलीज नोट्स देखें)।

जोखिम आधारित प्राथमिकता

विक्रेताओं द्वारा तय की गई कमजोरियों को देखते हुए, मूल्यांकन को केवल गंभीरता और सीवीएसएस स्कोर से अधिक पर विचार करना चाहिए। यदि आईटी सुरक्षा टीमों के पास जोखिम निर्धारित करने के लिए अतिरिक्त मेट्रिक्स नहीं हैं, तो एक अच्छा मौका है कि वे कुछ सबसे महत्वपूर्ण अपडेट खो रहे हैं। गंभीरता को परिभाषित करने के लिए उपयोग किए जाने वाले विक्रेता एल्गोरिदम सुरक्षा की झूठी भावना कैसे दे सकते हैं इसका एक अच्छा उदाहरण इस महीने की शून्य-दिन सूची में पाया जा सकता है। CVEs में से दो को Microsoft द्वारा केवल महत्वपूर्ण दर्जा दिया गया है, हालाँकि अपडेट के रिलीज़ होने से पहले उनका सक्रिय रूप से शोषण किया गया था। महत्वपूर्ण सीवीई के लिए सीवीएसएसवी3 स्कोर दो महत्वपूर्ण सीवीई से भी कम है। गार्टनर जैसे विश्लेषकों के अनुसार, भेद्यता प्रबंधन के लिए जोखिम-आधारित दृष्टिकोण अपनाने से डेटा उल्लंघनों की संख्या प्रति वर्ष 80% तक कम हो सकती है (गार्टनर पूर्वानुमान विश्लेषण: जोखिम-आधारित भेद्यता प्रबंधन 2019)।

शून्य दिन कमजोरियों

CVE-2021-31979 विंडोज कर्नेल में प्रिविलेज भेद्यता का उन्नयन है। यह भेद्यता "जंगली" हमलों के दौरान खोजी गई थी। इस CVE के लिए Microsoft की गंभीरता को महत्वपूर्ण दर्जा दिया गया है और CVSSv3 का स्कोर 7,8 है। भेद्यता विंडोज 7, सर्वर 2008 और बाद में विंडोज ऑपरेटिंग सिस्टम संस्करणों को प्रभावित करती है।

CVE-2021-33771 पर यह विंडोज कर्नेल में विशेषाधिकार भेद्यता का उन्नयन है। यह भेद्यता वास्तविक हमलों में भी खोजी गई थी। इस CVE के लिए Microsoft की गंभीरता को महत्वपूर्ण दर्जा दिया गया है और CVSSv3 का स्कोर 7,8 है। भेद्यता विंडोज 8.1, सर्वर 2012 आर 2 और बाद में विंडोज ऑपरेटिंग सिस्टम संस्करणों को प्रभावित करती है।

CVE-2021-34448 विंडोज स्क्रिप्टिंग इंजन में एक स्मृति भ्रष्टाचार भेद्यता है जो हमलावर को प्रभावित सिस्टम पर दूरस्थ रूप से कोड निष्पादित करने की अनुमति दे सकती है।

जीरो-डे अटैक परिदृश्य

वेब-आधारित हमले के परिदृश्य में, एक हमलावर ऐसी वेबसाइट को होस्ट कर सकता है जिसमें एक विशेष रूप से तैयार की गई फ़ाइल होती है जिसका उद्देश्य भेद्यता का फायदा उठाना है। यही बात छेड़छाड़ की गई वेबसाइट पर भी लागू होती है जो उपयोगकर्ता द्वारा प्रदान की गई सामग्री को स्वीकार या होस्ट करती है। हालांकि, हमलावर के पास उपयोगकर्ता को वेबसाइट पर जाने के लिए बाध्य करने का कोई तरीका नहीं होगा। इसके बजाय, एक हमलावर को स्वेच्छा से एक लिंक पर क्लिक करने के लिए उपयोगकर्ता को धोखा देना होगा। यह आमतौर पर एक ईमेल या इंस्टेंट मैसेंजर संदेश के माध्यम से किया जाता है। लक्ष्य तब उपयोगकर्ता को फ़ाइल खोलने के लिए राजी करना है।

इस सीवीई के लिए माइक्रोसॉफ्ट की गंभीरता को क्रिटिकल के रूप में रेट किया गया है और CVSSv3 का स्कोर 6,8 है। भेद्यता विंडोज 7, सर्वर 2008 और नए विंडोज ऑपरेटिंग सिस्टम संस्करणों को प्रभावित करती है।

सार्वजनिक रूप से घोषित

CVE-2021-33781 सक्रिय निर्देशिका सेवा में सुरक्षा सुविधाओं को बायपास करना है। इस भेद्यता का सार्वजनिक रूप से खुलासा किया गया है। इस CVE के लिए Microsoft की गंभीरता को महत्वपूर्ण दर्जा दिया गया है और CVSSv3 का स्कोर 8.1 है। भेद्यता विंडोज 10, सर्वर 2019 और बाद में विंडोज ऑपरेटिंग सिस्टम संस्करणों को प्रभावित करती है।

CVE-2021-33779 Windows ADFS सुरक्षा में एक सुरक्षा सुविधा बायपास है। इस भेद्यता का सार्वजनिक रूप से खुलासा किया गया है। इस CVE के लिए Microsoft की गंभीरता को महत्वपूर्ण दर्जा दिया गया है और CVSSv3 का स्कोर 8.1 है। भेद्यता सर्वर संस्करण 2016, 2019, 2004, 20H2 और कोर विंडोज सर्वर को प्रभावित करती है।

CVE-2021-34492 पर विंडोज ऑपरेटिंग सिस्टम में एक सर्टिफिकेट स्पूफिंग भेद्यता है। इस भेद्यता का सार्वजनिक रूप से खुलासा भी किया गया है। इस CVE के लिए Microsoft की गंभीरता को महत्वपूर्ण के रूप में आंका गया है। CVSSv3 स्कोर 8.1 है और यह विंडोज 7, सर्वर 2008 और बाद में विंडोज ऑपरेटिंग सिस्टम संस्करणों को प्रभावित करता है।

CVE-2021-34473 Microsoft Exchange सर्वर में एक दूरस्थ कोड निष्पादन भेद्यता है और इसे सार्वजनिक रूप से प्रकट किया गया है। Microsoft इस CVE को महत्वपूर्ण के रूप में वर्गीकृत करता है और CVSSv3 का स्कोर 9,0 है। भेद्यता एक्सचेंज सर्वर 2013u23, 2016u19, 2016u20, 2019u8, 2019u9 को प्रभावित करती है।

CVE-2021-34523 माइक्रोसॉफ्ट एक्सचेंज सर्वर में प्रिविलेज भेद्यता का उन्नयन है। इस भेद्यता का सार्वजनिक रूप से खुलासा किया गया है और इसकी गंभीरता रेटिंग महत्वपूर्ण है। CVSSv3 का स्कोर 9.1 है। यह एक्सचेंज सर्वर 2013u23, 2016u19, 2016u20, 2019u8, 2019u9 को प्रभावित करता है।

थर्ड पार्टी अपडेट

ओरेकल अपना त्रैमासिक क्रिटिकल पैच अपडेट या सीपीयू 20 जुलाई को जारी करेगा। इसमें Oracle Java SE, MySQL, Fusion Middleware और कई अन्य Oracle उत्पादों के अपडेट शामिल होंगे। CPU में CVSSv3.1 के बारे में सभी सुरक्षा सुधार और विवरण शामिल होंगे। इसमें हमले की जटिलता और इस सवाल का जवाब शामिल है कि क्या भेद्यता का दूर से फायदा उठाया जा सकता है। अद्यतनों की तात्कालिकता को समझने के लिए विवरण जोड़े गए हैं।

एडोब ने जुलाई पैच ट्यूजडे के हिस्से के रूप में पांच उत्पादों के लिए अपडेट जारी किया है। एडोब ब्रिज, डायमेंशन, इलस्ट्रेटर और फ्रेममेकर के अपडेट को एडोब द्वारा प्राथमिकता 3 का दर्जा दिया गया है। प्रत्येक कम से कम एक महत्वपूर्ण सीवीई को ठीक करता है।

एक्रोबैट और रीडर के लिए कई एडोब अपडेट

रैंकिंग करते समय Adobe भेद्यता की गंभीरता और हमलावर द्वारा उत्पाद पर ध्यान केंद्रित करने की संभावना दोनों को ध्यान में रखता है। Adobe प्राथमिकता 1 का अर्थ है कि रिलीज़ में शामिल कम से कम एक CVE का सक्रिय रूप से उपयोग किया जा चुका है। प्राथमिकता 3 का मतलब है कि उत्पाद पर हमला होने की संभावना कम है और कुछ कमजोरियों का फायदा उठाया गया है।

जबकि चार उत्पाद अद्यतन अत्यावश्यक नहीं हैं, उन्हें एक उचित समय सीमा में तय किया जाना चाहिए। इस महीने अधिक महत्वपूर्ण Adobe Acrobat और Reader अपडेट (APSB21-51) है, जो 19 CVE को ठीक करता है, जिनमें से 14 को क्रिटिकल रेट किया गया है। इस अद्यतन के लिए Adobe द्वारा सेट की गई प्रासंगिकता प्रायोरिटी 2 है। तीन महत्वपूर्ण CVE को 3 के CVSSv8.8 के साथ रेट किया गया था। यह दूरस्थ कोड निष्पादन की अनुमति दे सकता है। यह अभी तक ज्ञात नहीं है कि किसी भी सीवीई का शोषण किया गया है। हालांकि, एक्रोबैट और रीडर व्यापक रूप से सिस्टम पर और खुद में और खुद के खतरे वाले अभिनेताओं के हित में तैनात हैं।

मोज़िला फ़ायरफ़ॉक्स और फ़ायरफ़ॉक्स ईएसआर के लिए अपडेट जारी किया है जिसमें 9 सीवीई के लिए फिक्स शामिल हैं। फाउंडेशन पांच सीवीई को "उच्च प्रभाव" के रूप में वर्गीकृत करता है। IT सुरक्षा दल MFSA2021-28 में अधिक विवरण प्राप्त कर सकते हैं।

प्राथमिकता के लिए इवंती की सिफारिशें

इस महीने की सर्वोच्च प्राथमिकता विंडोज ओएस अपडेट है। तीन और शून्य-दिन भेद्यताएं तय की गई हैं। उन कंपनियों के लिए जिन्होंने अभी तक PrintNightmare आउट-ऑफ़-बैंड फ़िक्स स्थापित नहीं किया है, यह चार शून्य-दिन भेद्यताएँ होंगी और तीन सार्वजनिक रूप से प्रकट भेद्यताएँ होंगी।
Microsoft Exchange की दो सार्वजनिक रूप से ज्ञात कमजोरियाँ और साथ ही CVE-2021-31206 हैं, जो कुछ महीने पहले Pwn2Own प्रतियोगिता के भाग के रूप में ज्ञात हुईं। इसलिए हालांकि पिछले कुछ महीनों में कई अपडेट के बाद एक्सचेंज को थोड़ी राहत मिली है, इस भेद्यता का विश्लेषण किया जाना चाहिए और जल्द से जल्द ठीक किया जाना चाहिए।

Adobe Acrobat और Reader, और Mozilla Firefox के लिए तृतीय-पक्ष अपडेट को उच्च प्राथमिकता दी जानी चाहिए। पीडीएफ और ब्राउज़र एप्लिकेशन उन हमलावरों के लिए आसान लक्ष्य हैं जो फ़िशिंग हमलों और अन्य उपयोगकर्ता-केंद्रित तरीकों से उपयोगकर्ता का शोषण करते हैं।

Ivanti.com पर अधिक

 

---

इवांती के बारे में

एकीकृत आईटी की ताकत। इवंती डिजिटल कार्यस्थल को बेहतर संचालन और सुरक्षित करने के लिए आईटी को उद्यम सुरक्षा संचालन से जोड़ती है। हम पीसी, मोबाइल उपकरणों, वर्चुअलाइज्ड इंफ्रास्ट्रक्चर या डेटा सेंटर में आईटी संपत्तियों की पहचान करते हैं - भले ही वे ऑन-प्रिमाइसेस हों या क्लाउड में हों। इवंती आईटी सेवा वितरण में सुधार करती है और विशेषज्ञता और स्वचालित प्रक्रियाओं के माध्यम से व्यावसायिक जोखिम को कम करती है। गोदाम में और पूरी आपूर्ति श्रृंखला में आधुनिक तकनीकों का उपयोग करके, इवंती बैकएंड सिस्टम को बदले बिना - कंपनियों को उनकी डिलीवरी करने की क्षमता में सुधार करने में मदद करता है।

---

 

विषय से संबंधित लेख