مایکروسافت برای ویندوز ۱۰ به روزرسانی از نوع Service Stack Update اعلام نمود و همچنین ۱۲۰ آسیبپذیری دیگر را نیز در محصولات مایکروسافت پوشش داد. به دلیل اینکه دو باگ روزصفر در این به روزرسانی پوشش داده میشود سازمانها میبایست سریعا اقدامات لازم را انجام دهند.
شناسه آسیبپذیری:
| Vector: N/A Base Score: N/A vulnerable versions: Internet Explorer 11 in Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016, and Windows Server 2019 | CVE-2020-1380 |
| Vector: N/A Base Score: N/A vulnerable versions: Internet Explorer 11 in Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016, and Windows Server 2019 | CVE-2020-1464 |
توضیحات:
باگدشت در این صفحه به یک آسیب پذیری در ویندوز پرداخته است.
این بهروز رسانی سومین بهروز رسانی وسیع برای ویندوز ۱۰ است. در این بهروز رسانی دو آسیبپذیری روز صفر پوشش داده شده و هکرهای کلاه سیاه به شکل گسترده اکسپلویت آسیبپذیری از این دو آسیبپذیری روز صفر انجام دادند.
CVE-2020-1380:
اولین آسیبپذیری روز صفر CVE-2020-1380 است. این آسیبپذیری به نام Scripting Engine Memory Corruption Vulnerability شناخته میشود و میتواند حمله RCE را اجرا کند. این آسیبپذیری در Internet Explorer 11 وجود دارد و توسط بورس لاریس(Boris Larin) از آزمایشگاه کسپراسکای شناسایی شده است.
در سناریو حمله مبتنی بر وب، حمله کننده با هاست نمودن وب سایت آلوده و متقاعد کردن کاربر به بازدید لینک وب سایت از طریق اینترنت اکسپلور میتواند اکسپلویت آسیب پذیری را انجام دهد. همچنین حمله کننده میتواند یک کنترل ActiveX را در یک نرمافزار یا سند Microsoft Office تعبیه کند و موتور پردازش IE در آن هاست شود. حمله کننده از وب سایتهای آلوده و آنهایی که محتوای کلاینت را میپذیرند نیز می تواند سواستفاده کنند. این وب سایتها میتوانند منجر به اکسپلویت آسیبپذیری شوند. طبق اعلام مایکروسافت، اکسپلویت آسیبپذیری به شکل وسیع در حال انجام است و میتوان از یک سند مخرب Office برای اکسپلویت آسیبپذیری استفاده کرد. اکسپلویت آسیب پذیری در ویندوز در کمپینهای فیشینگ در حال انجام است.
این باگ در نحوه پردازش object ها در حافظه اینترنت اکسپلورر وجود دارد و با تخریب حافظه میتواند منجربه اجرای کد دلخواه توسط مهاجم شود. مهاجمی که بتواند این باگ را اکسپلویت نماید می تواند سطح دسترسی کاربر فعلی را داشته باشد و تمامی اقدامات بعدی را با دسترسی او انجام دهد.
CVE-2020-1464:
دومین آسیبپذیری با شناسه CVE-2020-1464 و با نام آسیبپذیری Windows Spoofing وجود دارد. این آسیب پذیری برای عموم افشا شده است و اکسپلویت آسیبپذیری فعالانه انجام میشود. اگر امضای دیجیتالی اجرایی باشد، این آسیبپذیری امکان کلاهبرداری(spoof) از کمپانیهای دیگر را فراهم میکند. آسیب پذیری امضای جعلی در این باگ اجازه دور زدن کنترلهای امنیتی را برای بارگذاری فایلهای با امضای جعلی را میدهد.
ویندوز امضای احراز هویت انجام شده توسط توسعه دهنده را در صورت اضافه شدن محتوا به انتهای فایل نصب msi معتبر میداند. سناریو حمله به این شکل است که کد اضافه شده میتواند یک jar آلوده باشد و فایل نهایی از نظر مایکروسافت معتبر است و بدافزار شناخته نمیشود. امضای کد یکی از روشهای تایید فایلهای اجرایی برای معتبر بودن توسعه دهنده آن کد است. به همین دلیل وقتی کدی به فایل اجرایی مثلا PE فایل اضافه شود شناسه آن تغییر یافته و دیگر معتبر نمیباشد. این فرآیند در فایلهای msi صادق نیست و منجربه این آسیب پذیری میگردد.
