افزایشِ غیرمجازِ سطح دسترسی با آسیب‌پذیری CVE-2020-1463

معرفی آسیب‌پذیری CVE-2020-1463:

مایکروسافت بیش از 123 آسیب پذیری  منحصر به فرد در محصولات خود را برطرف کرده است که بین آنها چندین آسیب پذیری «بحرانی» و «مهم» دیده میشود. یکی از آسیب پذیری های مهم در این لیست، آسیب پذیری CVE-2020-1463 است که در روز 14 ژوئیه سال 2020 کشف شد.  این آسیب پذیری در کتابخانه SharingStream وجود دارد و سیستم عامل های مبتنی بر ویندوز (2016-2019) را تحت تاثیر قرار میدهد.  CVSS Score  این آسیب پذیری 7.8 است و جز آسیب پذیری های High محسوب میشود.

چه محصولاتی تحت تاثیر آسیب‌پذیری CVE-2020-1463 قرار خواهند گرفت؟

Windows Server, version 2004 (Server Core installation), Windows Server, version 1903 (Server Core installation), Windows Server 2016, Windows 10, Windows Server, version 1909 (Server Core installation), Windows Server 2019

مکانیزم:

این آسیب پذیری در نحوه مدیریت Object های موجود در حافظه که باید توسط کتابخانه‌ی cve-2020-1463 اجرا شود وجود دارد. فرد مهاجم می‌تواند از این آسیب پذیری استفاده کرده و کد مخرب را در قالب یک برنامه ساختگی در سیستم قربانی اجرا کند و سطح دسترسی خود را در آن سیستم بالا ببرد و به آن سیستم نفوذ کند.

بردار حمله این آسیب­ پذیری به صورت زیر است:

Vector=CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

بر اساس اطلاعات موجود در این بردار حمله می‌توان به این نتایج ذیل دست یافت:

– نوع دسترسی: مهاجم برای اجرای حمله‌ی مربوط به این آسیب‌پذیری باید دسترسی محلی (Local) داشته باشد.

– سطح پیچیدگی حمله: آسان

– میزان دسترسی لازم برای اجرای حمله توسط مهاجم: پایین

– محدوده تاثیر حمله: غیرقابل تغییر( به این معنی که  این سطح دسترسی به سایر سیستم ها منتقل نمیشود.)

– (Confidentiality) میزان تاثیر روی محرمانگی: در سطح بالا

– (Integrity) میزان تاثیر روی یکپارچگی: در سطح بالا

– (Availibility) میزان تاثیر روی دسترس‌پذیری: در سطح بالا

– میزن قابلیت اعتماد به گزارش‌های موجود از این آسیب‌پذیری: وجود این آسیب‌پذیری توسط مراجع معتبر تایید شده است.

روش های مقابله دستی:

1. به‌روزرسانی امنیتی محصولات Visual Studio، SharePoint و چارچوب .NET جهت اعتبارسنجی منبع محتوای XML اولین قدم برای مقابله با این آسیب‌پذیری است.

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1463#ID0EN

مقابله با استفاده از ابزارهای امنیتی:

1. یکی از راه‌حل‌های کاهش تاثیر تهدیدهای ناشی از آسیب‌پذیری‌ها، دریافت اطلاعات زودهنگام از وجود آن‌هاست. یک نمونه از مهم‌ترین ابزار‌هایی می‌تواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دور‌ه‌ای برای کاربر فراهم می‌کند و آسیب‌پذیری‌های برطرف نشده‌ی سرویس‌های سازمان را به صورت دوره‌ای بررسی و گزارش می‌نماید. به این ترتیب می‌توان در اسرع وقت در جهت رفع مشکل یا تعیین سیاست‌های امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.

در اینجا می‌توانید رابطه با Nessus بیشتر بخوایند

2. استفاده از FortiClient: ابزار FortiClient برای مقابله با حملات ناشی از این آسیب‌پذیری یک قانون با SID=64282 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به مجموعه قوانین FortiClient جلوی بروز حملات و حوادث احتمالی را بگیرند.

مراجع:

[1]. https://www.rapid7.com/db/vulnerabilities/msft-cve-2020-1463

[2]. www.tenable.com/cve/CVE-2020-1463

[3]. http://www.fortiguard.com/encyclopedia/endpoint-vuln/64282/microsoft-windows-sharedstream-library-elevation-of-privilege-vulnerability