معرفی آسیبپذیری CVE-2020-1147:
آسیبپذیری CVE-2020-1147یکی از مهم ترین آسیبپذیری هایی است که اخیرا در محصولات مایکروسافت کشف شده است. این آسیبپذیری میتواند منجر به حمله remote execution code در محصولات Microsoft SharePoint، Microsoft Visual Studio و چارچوب .Net شود. این آسیبپذیری موجب میشود که نرمافزار نتواند نشانهگذاریهای منبع فایل XML دریافتی را بررسی کند. در حقیقت فرد مهاجمی که توانسته است از این آسیبپذیری سوء استفاده کند، کد دلخواه خود را روی سیستم قربانی اعمال میکند و این کد مخرب روی پردازهای تاثیر میگذارد که مسئولیت پردازش محتوای فایلهای XML را برعهده دارد. این آسیبپذیری در روز 14 ماه جولای سال2020 کشف شده است. CVSS این آسیب پذیری 7.8 است و جز آسیبپذیریها Critical محسوب میشود.
چه محصولاتی تحت تاثیر آسیبپذیری CVE-2020-1147 قرار خواهند گرفت؟
1- .NET Framework
2- Microsoft SharePoint
3- Microsoft Visual Studio
مکانیزم:
برای سوء استفاده از این آسیبپذیری، فرد مهاجم کد خاص مربوط به این آسیبپذیری را روی سرور آپلود میکند و این کد مخرب روی پردازهای تاثیر میگذارد که مسئولیت پردازش محتوای فایلهای XML را برعهده دارد.
بردار حمله این آسیبپذیری به صورت زیر است:
Vector=CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
– بر اساس اطلاعات موجود در این بردار حمله میتوان به این نتایج ذیل دست یافت:
– نوع دسترسی: مهاجم برای اجرای حملهی مربوط به این آسیبپذیری باید دسترسی محلی (Local) داشته باشد.
– سطح پیچیدگی حمله: آسان
– میزان دسترسی لازم برای اجرای حمله توسط مهاجم: قابل اجرا با تمامی سطوح دسترسی
– محدوده تاثیر حمله: غیرقابل تغییر( به این معنی که این سطح دسترسی به سایر سیستم ها منتقل نمیشود.)
– (Confidentiality) میزان تاثیر روی محرمانگی: در سطح بالا
– (Integrity) میزان تاثیر روی یکپارچگی: در سطح بالا
– (Availibility) میزان تاثیر روی دسترسپذیری: در سطح بالا
– میزن قابلیت اعتماد به گزارشهای موجود از این آسیبپذیری: وجود این آسیبپذیری توسط مراجع معتبر تایید شده است.
روش های مقابله دستی:
1. بهروزرسانی امنیتی محصولات Visual Studio، SharePoint و چارچوب .NET جهت اعتبارسنجی منبع محتوای XML اولین قدم برای مقابله با این آسیبپذیری است.
مقابله با استفاده از ابزارهای امنیتی:
1. یکی از راهحلهای کاهش تاثیر تهدیدهای ناشی از آسیبپذیریها، دریافت اطلاعات زودهنگام از وجود آنهاست. یک نمونه از مهمترین ابزارهایی میتواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دورهای برای کاربر فراهم میکند و آسیبپذیریهای برطرف نشدهی سرویسهای سازمان را به صورت دورهای بررسی و گزارش مینماید. به این ترتیب میتوان در اسرع وقت در جهت رفع مشکل یا تعیین سیاستهای امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.
در اینجا میتوانید رابطه با Nessus بیشتر بخوایند
2. استفاده از FortiGate: FortiGate برای مقابله با حملات ناشی از آسیبپذیری CVE-2020-1147 یک قانون با ID:49338 طراحی کرده است. بنابراین سازمانها میتوانند با افزودن این قانون به قسمت IPS در تجهیز FortiGate خطر بروز این حمله و حوادث احتمالی را کاهش دهند.
در اینجا میتوانید رابطه با FortiGate بیشتر بخوایند
3. استفاده از FortiClient: ابزارابزار FortiClient برای مقابله با آسیبپذیری CVE-2020-1147 یک قانون با ID: 64284 طراحی کرده است. بنابراین سازمانها میتوانند با افزودن این قانون به مجموعه قوانین fortiClient خطر بروز حملات و حوادث احتمالی ناشی از این آسیبپذیری را کاهش دهند.
مراجع:
[1]. https://nvd.nist.gov/vuln/detail/CVE-2020-1147
[3]. https://fortiguard.com/encyclopedia/ips/49338/ms-net-framework-readxml-insecure-deserialization