معرفی آسیبپذیری CVE-2020-1463:
مایکروسافت بیش از 123 آسیب پذیری منحصر به فرد در محصولات خود را برطرف کرده است که بین آنها چندین آسیب پذیری «بحرانی» و «مهم» دیده میشود. یکی از آسیب پذیری های مهم در این لیست، آسیب پذیری CVE-2020-1463 است که در روز 14 ژوئیه سال 2020 کشف شد. این آسیب پذیری در کتابخانه SharingStream وجود دارد و سیستم عامل های مبتنی بر ویندوز (2016-2019) را تحت تاثیر قرار میدهد. CVSS Score این آسیب پذیری 7.8 است و جز آسیب پذیری های High محسوب میشود.
چه محصولاتی تحت تاثیر آسیبپذیری CVE-2020-1463 قرار خواهند گرفت؟
Windows Server, version 2004 (Server Core installation), Windows Server, version 1903 (Server Core installation), Windows Server 2016, Windows 10, Windows Server, version 1909 (Server Core installation), Windows Server 2019
مکانیزم:
این آسیب پذیری در نحوه مدیریت Object های موجود در حافظه که باید توسط کتابخانهی cve-2020-1463 اجرا شود وجود دارد. فرد مهاجم میتواند از این آسیب پذیری استفاده کرده و کد مخرب را در قالب یک برنامه ساختگی در سیستم قربانی اجرا کند و سطح دسترسی خود را در آن سیستم بالا ببرد و به آن سیستم نفوذ کند.
بردار حمله این آسیب پذیری به صورت زیر است:
Vector=CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
بر اساس اطلاعات موجود در این بردار حمله میتوان به این نتایج ذیل دست یافت:
– نوع دسترسی: مهاجم برای اجرای حملهی مربوط به این آسیبپذیری باید دسترسی محلی (Local) داشته باشد.
– سطح پیچیدگی حمله: آسان
– میزان دسترسی لازم برای اجرای حمله توسط مهاجم: پایین
– محدوده تاثیر حمله: غیرقابل تغییر( به این معنی که این سطح دسترسی به سایر سیستم ها منتقل نمیشود.)
– (Confidentiality) میزان تاثیر روی محرمانگی: در سطح بالا
– (Integrity) میزان تاثیر روی یکپارچگی: در سطح بالا
– (Availibility) میزان تاثیر روی دسترسپذیری: در سطح بالا
– میزن قابلیت اعتماد به گزارشهای موجود از این آسیبپذیری: وجود این آسیبپذیری توسط مراجع معتبر تایید شده است.
روش های مقابله دستی:
1. بهروزرسانی امنیتی محصولات Visual Studio، SharePoint و چارچوب .NET جهت اعتبارسنجی منبع محتوای XML اولین قدم برای مقابله با این آسیبپذیری است.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1463#ID0EN
مقابله با استفاده از ابزارهای امنیتی:
1. یکی از راهحلهای کاهش تاثیر تهدیدهای ناشی از آسیبپذیریها، دریافت اطلاعات زودهنگام از وجود آنهاست. یک نمونه از مهمترین ابزارهایی میتواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دورهای برای کاربر فراهم میکند و آسیبپذیریهای برطرف نشدهی سرویسهای سازمان را به صورت دورهای بررسی و گزارش مینماید. به این ترتیب میتوان در اسرع وقت در جهت رفع مشکل یا تعیین سیاستهای امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.
در اینجا میتوانید رابطه با Nessus بیشتر بخوایند
2. استفاده از FortiClient: ابزار FortiClient برای مقابله با حملات ناشی از این آسیبپذیری یک قانون با SID=64282 طراحی کرده است. بنابراین سازمانها میتوانند با افزودن این قانون به مجموعه قوانین FortiClient جلوی بروز حملات و حوادث احتمالی را بگیرند.
مراجع:
[1]. https://www.rapid7.com/db/vulnerabilities/msft-cve-2020-1463
[2]. www.tenable.com/cve/CVE-2020-1463
[3]. http://www.fortiguard.com/encyclopedia/endpoint-vuln/64282/microsoft-windows-sharedstream-library-elevation-of-privilege-vulnerability