#مایکروسافت بهروزرسانیهای امنیتی ماه فوریهی خود را منتشر کرد. بهروزرسانیهای این ماه، اصلاحاتی برای 99 آسیبپذیری ارایه میدهد و بزرگترین بهروزرسانی مایکروسافت تا به امروز بهشمار میرود.
بیشتر نقصهای مهم، مربوط به اجرای کد از راه دور و اشکالات فساد حافظه در سرویسهایی مانند موتور اسکریپت IE، سرویس کنترل از راه دور میز کار، پروندههای LNK و مؤلفهی Media Foundation هستند.
آسیبپذیری فساد حافظهی موتور اسکریت
آسیبپذیری "CVE-2020-0674" یک آسیبپذیری روز صفرم در نحوهی کار موتور رندر Trident در اشیاء در حافظه است. یک مهاجم میتواند از این نقص برای اجرای کد با همان امتیازاتی که به کاربر داده شده است، استفاده کند. استفاده از اینترنت اکسپلورر برای ایجاد این نقص ضروری نیست و روشهای دیگر (مانند اسناد اداری خاص ساختهشده) نیز قابل سوءاستفاده است. این نقص برای اولین بار در اواسط ژانویه توسط مایکروسافت مشاهده شد و تنها نقص بحرانی است که تا به امروز مورد سوء استفاده قرار گرفت.
آسیبپذیری LNK
مهمترین آسیبپذیری اجرای کد از راه دور (RCE) در این ماه، "CVE-2020-0729" است که میتواند متقاعدکردن کاربر برای بازکردن یک اشتراک از راه دور یا قراردادن فایل ".LNK" مخرب روی درایو USB و بازکردن کاربر، مورد سوءاستفاده قرار گیرد. سوءاستفادهی موفقیتآمیز از این آسیبپذیری، میتواند به مهاجمان، حقوق کاربر محلی را اعطا کند.
این نقص، مشابه اشکالی است که توسط بدافزار "Stuxnet" مورد سوءاستفاده قرار گرفته است. Stuxnet برای بهدست آوردن امکانات غنیسازی هستهای ایران در سال 2012 مورد استفاده قرار گرفت.
آسیبپذیریهای کنترل از راه دور میز کار
"CVE-2020-0681" و "CVE-2020-0734" آسیبپذیریهای RCE هستند که در "Windows Remote Desktop Client" وجود دارند. مهاجمان میتوانند هنگام اتصال یک کاربر به یک سرور مخرب، از این آسیبپذیریها سوءاستفاده کنند. این کار به آنها امکان نصب برنامهها، دسترسی و تغییر دادهها و همچنین ایجاد حسابهای جدید با حقوق کامل کاربر را میدهد.
"CVE-2020-0655" نیز یک آسیبپذیری RCE در خدمات میز کار از راه دور است (که قبلاً به عنوان خدمات پایانه شناخته میشد). هیچگونه نیازی به تعامل با کاربر برای سوءاستفاده از این آسیبپذیری وجود ندارد. مهاجمان میتوانند برای اجرای یک کد دلخواه و بهدستآوردن حقوق کاملی از کاربر، از طریق پروتکل کنترل از راه دور میز کار (RDP)، درخواستهای دستکاریشدهی ویژهای را به سرویس هدف از راه دور از طریق سیستم هدف خود ارسال کنند.
"CVE-2020-0660" یک آسیبپذیری انکار سرویس است که مهاجمان میتوانند در سرورهای RDP Gateway از آن سوءاستفاده کنند. در صورت موفقیت، آنها میتوانند با استفاده از RDP به یک سرور هدف آسیبپذیر متصل شوند و درخواستهای سفارشی ارسال کنند که میتواند باعث شود سرویس RDP روی سیستم هدف از پاسخ دادن، متوقف شود.
آسیبپذیریهای افزایش سطح امتیازات
55 آسیبپذیری برای افزایش امتیاز در این ماه برای بخشهای مختلف ازجمله هستهی ویندوز، جستجوی شاخصبندی، DirectX و ابزار حذف نرمافزارهای مخرب درنظر گرفته شده است. یکی از تهدیدهای جدی، آسیبپذیری "CVE-2020-0692" است که میتواند با اجرای یک حملهی مرد میانی (MITM) برای ارسال درخواست احراز هویت به سرور مایکروسافت Exchange مورد سوءاستفاده قرار بگیرد. این نقص به مهاجمان اجازه میدهد تا کاربر دیگری از Exchange را جعل کنند.
آسیبپذیریهای موجود در SQL
اشکالات قابل ملاحظه در این ماه همچنین شامل دو نقص اجرای کد از راه دور "CVE-2020-0618" و "CVE-2020-0662" در سرورهای 2012، 2014 و 2016 (32 و 64 بیتی) SQL و ویندوز 7، 8.1، 10، بهترتیب سرور 2008 ، 2012 ، 2016 و 2019 هستند.
بهگفتهی محققان، این آسیبپذیریها به مهاجمان اجازه میدهند تا به یک سیستم دسترسی داشته باشند و مطالب را بخوانند یا حذف کنند، تغییراتی ایجاد یا مستقیماً کد را روی سیستم اجرا نمایند. این دسترسی سریع و آسان به یک مهاجم اجازه میدهد تا نهتنها به مهمترین دادههای سازمانی که در سرور SQL ذخیره شده است دسترسی پیدا کند، بلکه این امکان را فراهم میکند تا حملات مخرب اضافی را علیه سایر دستگاههای اطراف انجام دهند.
راهحلهای امنیتی
کاربران میتوانند با نصب بهروزرسانیهای منتشرشده در این ماه، سیستمها را از تهدیدات مربوط به آسیبپذیریهای موجود، محافظت کنند. بهروزرسانیهای این ماه بهصورت عمده تحویل داده میشوند، بنابراین با پذیرش بهروزرسانی، بهطور خودکار وصلههای امنیتی برای 99 نقص، نصب میشوند.
کاربران همچنین میتوانند برنامههای سیستم محافظ خودکار را نصب کنند که اختلالات را به حداقل میرساند و تضمین میکند که برنامههای مهم و دادههای حساس شرکت محافظت و بهروز میشوند.
- 11