آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) یک نقص امنیتی اخیراً اصلاح شده در محصولات Microsoft .NET و ویژوال استودیو مایکروسافت را با استناد به شواهدی مبنی بر بهرهبرداری فعال به کاتالوگ آسیبپذیریهای مورد بهرهبرداری شناخته شده ([۱]KEV) اضافه کرده است[۲].
این نقص با شدت بالا که بهعنوان CVE-2023-38180 شناسایی میشود[۳] (امتیاز ۵/۷ در مقیاس CVSS)، مربوط به یک مورد انکار سرویس (DoS) است که داتنت و ویژوال استودیو را تحتتأثیر قرار میدهد.
مایکروسافت بهعنوان بخشی از بهروزرسانیهای وصلههای آگوست ۲۰۲۳ آن را موردتوجه قرار داد[۴] و آن را با ارزیابی «احتمال بیشتر بهرهبرداری» برچسبگذاری کرد.
درحالیکه جزئیات دقیق مربوط به ماهیت بهرهبرداری نامشخص است، سازنده ویندوز وجود یک اثبات ادعا (PoC) را در گزارش خود تصدیق کرده است. همچنین گفته شده است که حملاتی که از این نقص استفاده میکنند را میتوان بدون هیچگونه امتیاز اضافی یا تعامل کاربر انجام داد.
این شرکت گفت[۵]: “کد بهرهبردار اثبات ادعا در دسترس است، یا نمایش حمله برای اکثر سیستمها عملی نیست. کد یا تکنیک در همه موقعیتها کاربردی نیست و ممکن است نیاز به اصلاح اساسی توسط یک مهاجم ماهر داشته باشد.”
نسخههای تحتتأثیر این نرمافزار عبارتاند از ASP.NET Core 2.1، .NET 6.0، .NET 7.0، Microsoft Visual Studio 2022 نسخه ۱۷٫۲، Microsoft Visual Studio 2022 نسخه ۱۷٫۴ و Microsoft Visual Studio 2022 نسخه ۱۷٫۶٫
برای کاهش خطرات احتمالی، CISA به آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) توصیه کرده است تا ۳۰ آگوست ۲۰۲۳ اصلاحات ارائه شده توسط این فروشنده را برای این آسیبپذیری اعمال کنند.
منابع
[۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۳] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-38180
[۴] https://apa.aut.ac.ir/?p=9910
[۵] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-38180
[۶] https://thehackernews.com/2023/08/cisa-adds-microsoft-net-vulnerability.html
ثبت ديدگاه