معرفی آسیب‌پذیری CVE-2020-1147:

آسیب‌پذیری CVE-2020-1147یکی از مهم ترین آسیب‌پذیری هایی است که اخیرا در محصولات مایکروسافت کشف شده است. این آسیب‌پذیری می‌تواند منجر به حمله remote execution code در محصولات Microsoft SharePoint، Microsoft Visual Studio و چارچوب .Net شود. این آسیب‌پذیری موجب می‌شود که نرم‌افزار نتواند نشانه‌گذاری‌های منبع فایل XML دریافتی را بررسی کند. در حقیقت فرد مهاجمی که توانسته است از این آسیب‌پذیری سوء استفاده کند، کد دلخواه خود را روی سیستم قربانی اعمال می‌کند و این کد مخرب روی پردازه‌ای تاثیر می‌گذارد که مسئولیت پردازش محتوای فایلهای XML را برعهده دارد. این آسیب‌پذیری در روز 14 ماه جولای سال2020 کشف شده است. CVSS این آسیب پذیری 7.8 است و جز آسیب‌پذیری‌ها Critical محسوب می‌شود.

چه محصولاتی تحت تاثیر آسیب‌پذیری CVE-2020-1147 قرار خواهند گرفت؟

1- .NET Framework
2- Microsoft SharePoint
3- Microsoft Visual Studio

مکانیزم:

برای سوء استفاده از این آسیب‌پذیری، فرد مهاجم کد خاص مربوط به این آسیب‌پذیری را روی سرور آپلود می‌کند و این کد مخرب روی پردازه‌ای تاثیر می‌گذارد که مسئولیت پردازش محتوای فایلهای XML را برعهده دارد.

بردار حمله این آسیب­پذیری به صورت زیر است:

Vector=CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

– بر اساس اطلاعات موجود در این بردار حمله می‌توان به این نتایج ذیل دست یافت:

نوع دسترسی: مهاجم برای اجرای حمله‌ی مربوط به این آسیب‌پذیری باید دسترسی محلی (Local) داشته باشد.

سطح پیچیدگی حمله: آسان

میزان دسترسی لازم برای اجرای حمله توسط مهاجم: قابل اجرا با تمامی سطوح دسترسی

محدوده تاثیر حمله: غیرقابل تغییر( به این معنی که این سطح دسترسی به سایر سیستم ها منتقل نمیشود.)

(Confidentiality) میزان تاثیر روی محرمانگی: در سطح بالا

(Integrity) میزان تاثیر روی یکپارچگی: در سطح بالا

(Availibility) میزان تاثیر روی دسترس‌پذیری: در سطح بالا

میزن قابلیت اعتماد به گزارش‌های موجود از این آسیب‌پذیری: وجود این آسیب‌پذیری توسط مراجع معتبر تایید شده است.

روش های مقابله دستی:

1. به‌روزرسانی امنیتی محصولات Visual Studio، SharePoint و چارچوب .NET جهت اعتبارسنجی منبع محتوای XML اولین قدم برای مقابله با این آسیب‌پذیری است.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1147

مقابله با استفاده از ابزارهای امنیتی:

1. یکی از راه‌حل‌های کاهش تاثیر تهدیدهای ناشی از آسیب‌پذیری‌ها، دریافت اطلاعات زودهنگام از وجود آن‌هاست. یک نمونه از مهم‌ترین ابزار‌هایی می‌تواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دور‌ه‌ای برای کاربر فراهم می‌کند و آسیب‌پذیری‌های برطرف نشده‌ی سرویس‌های سازمان را به صورت دوره‌ای بررسی و گزارش می‌نماید. به این ترتیب می‌توان در اسرع وقت در جهت رفع مشکل یا تعیین سیاست‌های امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.

در اینجا می‌توانید رابطه با Nessus بیشتر بخوایند

2. استفاده از FortiGate: FortiGate برای مقابله با حملات ناشی از آسیب‌پذیری CVE-2020-1147 یک قانون با ID:49338 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به قسمت IPS در تجهیز FortiGate خطر بروز این حمله و حوادث احتمالی را کاهش دهند.

در اینجا می‌توانید رابطه با FortiGate بیشتر بخوایند

3. استفاده از FortiClient: ابزارابزار FortiClient برای مقابله با آسیب‌پذیری CVE-2020-1147 یک قانون با ID: 64284 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به مجموعه قوانین fortiClient خطر بروز حملات و حوادث احتمالی ناشی از این آسیب‌پذیری را کاهش دهند.

مراجع:

[1]. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1147

[2]. https://nvd.nist.gov/vuln/detail/CVE-2020-1147

[3]. http://fortiguard.com/encyclopedia/endpoint-vuln/64284/microsoft-net-framework-sharepoint-server-and-visual-studio-remote-code-execution-vulnerability

[4]. https://fortiguard.com/encyclopedia/ips/49338/ms-net-framework-readxml-insecure-deserialization