آسیب پذیری های روز صفر اجرای کد از راه دور در ویندوز سرور و کلاینت

دی ۲۵, ۱۳۹۸

در 14 ژانویه 2020 مایکروسافت با انتشار نسخه ماهانه بروزرسانی آسیب‌پذیری روزصفر خود را اعلام کرد. بروز رسانی برای آسیب‌پذیری‌ها شامل ضعف هایی درCryptoAPI، Remote Desktop Gateway (RD Gateway) و Remote Desktop Client می‌شود.

حمله کننده از راه دور می‌تواند از این آسیب‌پذیری‌ها سواستفاده کند و می‌تواند منجربه رمزگشایی، تغییر، یا تزریق داده بر روی اتصالات کاربر گردد.

به شدت پیشنهاد می‌شود سازمان‌ها در سریع‌ترین زمان ممکن به روزرسانی نمایند و اولویت با سیستم‌هایی است که مسئولیت‌های حساس را در اختیار دارند. همچنین سازمان‌ها باید به روز رسانی دیگر سیستم‌ها را برنامه ریزی نمایند.

شناسه آسیب‌پذیری: CVE-2020-0601 و CVE-2020-0609 و CVE-2020-0610 و CVE-2020-0611

سطح ریسک: بحرانی

CVSS:3.0/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H/E: P/RL: O/RC: C

سیستمهای آسیب پذیر:

Windows 10 operating systems, including Windows Server versions 2016 and 2019

Windows Server 2012 and newer

Windows 7 and newer

نیازمندی تعامل کاربر: خیر

سال شناسایی: ۲۰۲۰

۱-آسیب‌پذیری CryptoAPI – CVE-2020-0601:

این آسیب‌پذیری شامل تمام سیستم عامل‌های ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ و ۲۰۱۹ هر دو نسخه ۳۲ و ۶۴ می‌شود. این آسیب‌پذیری به تایید گواهیElliptic Curve Cryptography(ECC) اجازه دور زدن گواهی‌های استور می‌دهد و امکان نصب نرم افزار مخرب ناخواسته در پوشش نرم افزارهای معتبر را می‌دهد. از این طریق می‌توان کاربر و یا نرم افزار ضد مخرب مانند آنتی ویروس را فریب داد. به علاوه یک گواهی مخرب می‌تواند به نام هاستی که آن را احراز هویت ننموده است ایجاد شود و مرورگر که به CryptoAPI ویندوز وابسته است هیچ اخطاری نسبت به این مشکل نشان نم‌یدهد. این باگ به حمله کننده اجازه رمزگشایی، تغییر و یا تزریق اطلاعات روی ارتباط کاربر می‌دهد بدون اینکه شناسایی شود.

۲-آسیب‌پذیری windows RD Gateway and windows Remote Desktop ClientCVE-2020-0609، CVE-2020-06010 و CVE-2020-0611:

این آسیب‌پذیری‌ها روی ویندوز سرور ۲۰۱۲ و یا جدیدتر تاثیر می‌گذارد و همچنین CVE-202-0611 روی ویندوز ۷ و نسخه‌های جدیدتر تاثیر می‌گذارد. باگ‌هایWindows Remote Desktop Client و RD Gateway server در ویندوز اجازه اجرای کد از راه دور را داده و این آسیب‌پذیری امکان اجرای کد دلخواه را به حمله کننده در این نرم افزارها را می‌دهد. آسیب پذیری‌ها در سرور نیازمند احراز هویت یا تعامل کاربر را ندارد و با یک درخواست تغییر یافته، این نقص امنیتی اکسپلویت می‌گردد. آسیب پذیری در نسخه کلاینت می‌تواند با راضی نمودن کاربر به اتصال به سرور آلوده اکسپلویت گردد.

۳-جزئیات فنی:

۳.۱-آسیب‌پذیری CryptoAPI – CVE-2020-0601:

در CryptoAPI (Crypt32.dll) آسیب‌پذیری وجود دارد که امکان سواستفاده از آن برای تایید گواهی‌های ECC را به حمله کننده می‌دهد. طبق گزارش مایکروسافت حمله کننده می‌تواند از این آسیب‌پذیری با استفاده از گواهی غیرمعتبر برای تایید فایل اجرایی استفاده نماید. در این حالت کاربر امکان تشخیص اینکه فایل مخرب است را ندارد زیرا امضای دیجیتال فایل مخرب، نشان از قابل اطمینان بودن تامین کننده را می‌دهد. اکسپلویت موفق به حمله کننده امکان رمزگشایی اطلاعات محرمانه و تاثیر در ارتباط کاربر و نرم افزار را می‌دهد.

حمله سایبری می‌تواند با استفاده از CVE-2020-0601 اطلاعات حساس مانند اطلاعات مالی را بدست آورد یا برنامه مخرب روی سیستم هدف اجرا کند برای مثال:

گواهی مخرب می‌تواند توسط یک هاست که بصورت حقیقی احراز هویت را برای آن گواهی انجام نداده است انتشار یابد.
یک بدافزار امضا شده می‌تواند حفاظت‌ها (مثل آنتی ویروس) را دور بزند که تنها توسط برنامه‌های قابل اطمینان اجرا می گردد.

۳.۲-آسیب پذیری در Windows RD Gateway – CVE-2020-0610 و CVE-2020-0609:

طبق گزارش مایکروسافت “یک آسیب‌پذیری برای اجرای کد از راه دور در Windows Remote Desktop Gateway (RD Gateway) وجود دارد. زمانی که حمله کننده با استفاده از RDP به سیستم هدف وصل می‌شود و درخواست‌های خاص تغییر یافته‌ای را می‌فرستد. این آسیب‌پذیری یک احراز هویت از قبل انجام شده است (pre-authentication) که بدون نیاز تعامل کاربر است”. تاثیرات CVE-2020-0609 و CVE-2020-0610:

تمام ویندوز سرور‌ها را تحت تاثیر قرار می‌دهد(نسخه‌های ۲۰۱۲ یا جدیدتر، نسخه ۲۰۰۸ در پایان ژانویه ۲۰۲۰)
در حالت از قبل احراز هویت شده (pre-authentication) اتفاق می‌افتد.
بدون نیاز به دخالت کاربر اتفاق می‌افتد.

۳.۳-آسیب پذیری Windows Remote Desktop Client – CVE-2020-0611:

طبق گزارش مایکروسافت “یک آسیب‌پذیری اجرای کد از راه دور درWindows Desktop Client زمانی که کاربر به سرور مخرب وصل می‌شود وجود دارد. مهاجم می‌تواند با اکسپلویت کردن آسیب‌پذیری، کدهای مخرب دلخواه را در سیستم کاربر اجرا کند”.

آسیب پذیری CVE-2020-0611 نیازمند است کاربر از طریق مهندسی اجتماعی به سرور آلوده وصل شود که می‌تواند از طریق حمله DNS Poisoning و یا حمله MITM و یا با آلوده سازی سرور معتبر انجام شود.

منابع

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0611

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

وبلاگ

آخرین مطالب

پنجمین رویداد سالانه امنیتی باگدشت با نام CTB در مرداد ماه سال ۱۴۰۳ برگزار شد

پنجمین رویداد امنیتی CTB با حمایت شرکتهای خدمات ارتباطی ایرانسل، دیجی‌کالا، سفرهای علی‌بابا، تپسی، بانک توسعه و تعاون و رسانه پیوست از هشتم تا هفدهم مرداد ماه برگزار شد.

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.