خلاصه: مایکروسافت وصله‌های امنیتی برای آسیب‌پذیری CVE-2020-0601 و چند آسیب‌پذیری حیاتی دیگر را منتشر نموده و به شدت توصیه کرده که سریعاً این وصله‌ها اعمال گردد تا سیستم‌های شما از حملات جدی در امان باشند. 

مایکروسافت یک آسیب‌پذیری شنود موجود در کتابخانه رمزنگاری CRYPT32.DLL روی ویندوز10، ویندوز سرور2016، و ویندوز سرور 2019  ‌را وصله کرد.

آژانس امنیت ملی امریکا (NSA) اظهار داشت که این آسیب‌پذیری را کشف کرده‌اند و بلافاصله آن را به تیم‌امنیتی ردموندی گزارش داده‌اند.

آژانس امنیت ملی امریکا و مایکروسافت هردو می‌گویندکه این آسیب‌پذیری هنوز مورد ‌استفاده قرار نگرفته و در عین حال که توصیه ‌می‌کند هرچه سریع‌تر وصله‌هایی که روز سه‌شنبه ژانویه 2020 برای جلوگیری از حمله ارایه شده را نصب کنید. این آسیب‌پذیری باعث می‌شود هکرها به شبکه شما به صورت یک ارتباط درست متصل شوند و از سیستم شما سوءاستفاده کنند.

این سازمان در دومین دستور اضطراری خود به شدت توصیه می‌کند که سازمان‌ها ، سریعا وصله‌های ویندوز10 و سرور2016و 2019 که تحت تاثیر آسیب‌پذیری CVE-2020-0601 قرار دارند را نصب کنند.

سازمان‌ها باید وصله‌های سیستم‌های مهم و با‌ارزش و دارایی‌های با ارزش بالا (HVAs) و سیستم‌های قابل دسترس به اینترنت و سرورها را در اولویت قرار دهند. سپس باید وصله‌ها را بر روی سیستم‌های باقی‌مانده اعمال کنند.

عواقب عدم برطرف شدن این آسیب‌پذیری شدید و گسترده می‌باشد. احتمالاً ابزار اکسپلویت از راه‌ دور این آسیب‌پذیری به‌صورت گسترده در دسترس قرار خواهد گرفت و در صورتی که با استفاده از این آسیب‌پذیری حملاتی صورت بگیرد، مقصر کاربرانی هستند که به‌روز‌رسانی‌ها را انجام نداده‌اند.

شنود اعتبارسنجی زنجیره گواهینامه ECC

به گفته مشاور امنیتی مایکروسافت، یک آسیب‌پذیری شنود در CryptoAPI ویندوز وجود دارد که گواهینامه‌های رمزنگاری خم بیضوی (ECC  )را تاًیید می‌کند. مهاجم می‌تواند از آسیب‌پذیری سوءاستفاده کند و با یک گواهی با امضای جعلی به صورت یک عامل مخرب، خود را به جای یک فایل از یک منبع معتبر و قانونی جا بزند.

مایکروسافت می‌افزاید: کاربر به هیچ‌وجه نمی‌تواند بفهمد که این فایل مخرب بوده است، چون به نظر می‌رسد که امضای دیجیتال از یک ارائه‌دهنده ‌قابل‌اعتماد است.

پس از بهره‌برداری موفقیت‌آمیز از سیستم‌های وصله نشده، مهاجمان می‌توانند حمله‌ی مرد‌ میانی را انجام دهند و همچنین ارتباطات محرمانه نرم‌افزار‌ها را رمزگشایی نمایند.

کارشناسان توضیح می‌دهند که با سوء‌استفاده از این آسیب‌پذیری، ممکن است یک مهاجم بتواند زنجیره صدور‌گواهینامه معتبر X.509 را روی یک ویندوز آسیب‌پذیر شنود کند که ممکن است اجازه اقدامات مختلفی به ‌صورت نامحدود از جمله رهگیری و تغییر ارتباطات رمزگذاری شده TLS  یا جعل امضای شناسه معتبر را به مهاجم بدهد.

اکنون به‌روز‌رسانی امنیتی مایکروسافت برای آسیب‌پذیری CVE-2020-0601 ارائه شده است و از طرف NSA اطمینان داده شده که CryptoAPI ویندوز به طور کامل گواهینامه‌هایECC را تأیید می‌کنند.

یکی ازمدیران امنیتی مایکروسافت گفته این کلاس از آسیب‌پذیری بسیار مهم است و خوشبختانه تاکنون دیده نشده که در حملات فعال از آن استفاده شده باشد.

مایکروسافت سایر محققان را نیز ترغیب کرده که در صورت وجود آسیب‌پذیری بالقوه با استفاده از پورتال MSRC آن را گزارش دهند.

گزینه‌های مقابله، پیشگیری و تشخیص آسیب‌پذیری

گروه امنیتی آژانس ملی امنیت امریکا همچنین اقداماتی برای مقابله با آسیب‌پذیری همراه با وصله‌های امنیتی در ژانویه 2020 منتشر کردند. کارشناسان می‌گویند ممکن است ابزار‌های شبکه یا برخی ویژگی‌های‌ سیستم‌ها در تشخیص و دفع سو‌استفاده های این آسیب‌پذیری‌ها موفق نباشند.

 معمولاً پروکسی‌های بررسی TLS که درست مدیریت و پیکربندی شده‌اند گواهینامه‌های نامعتبر را از معتبر تشخیص داده و آن‌ها را رد می‌کنند و زمانیکه گواهینامه سعی در بهره‌برداری از آسیب‌پذیری دارد از سیستم مورد نظر محافظت می‌کنند. اطمینان حاصل کنید برای پروکسی‌های TLS ، گزینه تأیید گواهینامه‌ها برای محدود کردن این دسته از حملات فعال باشد.

همچنین این گروه توصیه می‌کنند: از ابزارهای تحلیل شبکه همچون مثل Wireshark و OpenSSL برای استخراج و تحلیل گواهینامه‌ها، برای جلوگیری از حملات استفاده شود.

کاربران سازمانی که از سامانه مدیریت وصله مرکز آپا استفاده می‌نمایند می‌توانند نگرانی در این مورد نداشته باشند؛ زیرا سامانه مدیریت وصله به صورت خودکار به‌روز‌رسانی‌ها را روی همه سیستم‌ها نصب نموده و آن‌ها را در مقابل سو‌استفاده از این آسیب‌پذیری‌ها ایمن می‌نماید.