الصفحة الرئيسية مواضيع ومقالات الثغرات والمخاطر الأمنية ثغرة في نظام ويندوز سببها ملفات الإختصارات
ثغرة في نظام ويندوز سببها ملفات الإختصارات
تقييم المستخدمين: / 11
عاديممتاز 
الكاتب مصطفى العيسائي   
الأربعاء, 21 يوليو 2010 21:24

مقال يتحدث بشكل موجز عن ثغرة في قشرة نظام تشغيل الوندوز تسمح بتنفيذ أكواد على الأجهزة المستهدفة. إنتشرت في الفترة الأخيرة إستغلال لثغرة في نظام ويندوز في التعامل مع ملفات الإختصارات lnk وأردت أن أسلط الضوء عليها بطرح موضوع بسيط.

 

تصيب الثغرة الإصدارات التالية:

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 1 and Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems
  • Windows 7 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems
  • Windows Server 2008 R2 for Itanium-based Systems


في موضوعنا هذا سنقوم بتجربتها على نظامي Windows 7 Ultimate 64bit و Windows XP sp2 64bit بآخر تحديثاتهم.

إستغلال الملف المصاب في المثال يتمثل في تحميل وبدء مكتبة بإسم dll.dll على جذر القرص C, المكتبة ستعرض رسالة للمستخدم حال تحميلها.

بعد تجهيز المكتبة نقوم بوضعها مع الإختصار المصاب على القرص, إعادة تسمية ملف الإختصار ومن ثم تحديث المجلد لإعادة تحميل الإيقونة...

نلاحظ أن المكتبة قد تم تحميلها وقد تم تنفيذ محتوياتها:

 

Windows LNK Exploit

Windows LNK Exploit

 

طبعاَ الإستغلال الضار يكون بإضافة shellcode يقوم بتحميل أو تنفيذ ملفات ضارة مرفقة مع ملف الإختصار, كما في فيروس Stuxnet الذي يعتبر أول إستغلال علني وواسع النطاق للثغرة حيث ينشر الإختصارات المصابة مع نسخة منه في كل أقراص الذاكرة ويقوم بتحميل rootkit يحمل شهادة رقمية موقعة من شركة Realtek Semiconductor Corp. حسب تحليل موقع F-Secure.

الثغرة بشكل عام تعتمد على خطأ في قشرة النظام في التعامل مع أيقونات ملفات الإختصار وبطريقة ما يستطيع الملف المصاب تحويل مجرى التنفيذ إلى الحمولة الخاصة به أي أنها تجري عند أي محاولة للنظام لتحديث إيقونة الملف, عند تصفح المجلد وعند تركيب الأقراص الخارجية حتى.

بما أن الموضوع يعتمد على أيقونات الإختصارات فقد قمت بعمل حل بسيط ومؤقت إلى حين إصدار ترقيع رسمي من الشركة, الطريقة تعتمد على إزالة القيم الخاصة بترجمة أيقونات الإختصارات. صحيح أن ذلك قد يؤثر على الإختصارات كاملة لكنه كما قلت يعتبر حل مؤقت ( أو دائم بالنسبة لمستخدمي نظام Windows XP SP2 ) إلى حين إصدار الترقيع.

نقوم في البداية بفتح محرر التسجيل regedit والذهاب إلى المفتاح التالي:

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

Windows LNK Exploit

 

ومن ثم نقوم بتغيير إسم المفتاح من IconHandler إلى اي إسم آخر مثل : IconHandler-bak , ومن ثم نقوم بإعادة تشغيل الجهاز.

بإعادة التشغيل نجد أن كل الإختصارات بدون أيقوناتها ونستطيع ملاحظة أن الثغرة لم تعد تعمل بسبب التعطيل الحاصل:

 

Windows LNK Exploit

 

قبل تحديث النظام وترقيع الثغرة ضع في حسبانك أن تعيد مفتاح IconHandler إلى اسمه الأصلي لأن الترقيع قد يتعامل مع المفتاح بشكل من الأشكال ولا تنس إعادة التشغيل =)

العديد من شركات الحماية بدأت بإضافة ملفات الإختصارات الضارة إلى برامجها وقواعد بياناتها, لتاريخ اليوم يوجد 10 من أصل 42 برنامج حماية يصنف الملفات على أساس أنها ضارة حسب موقع Virus Total.


سيتم تحديث الموضوع عند نزول الترقيع , وسيتم إرفاق الملف المصاب بعد الترقيع إن شاء الله.


مراجع:



عن الكاتب:

مصطفى العيسائي, طالب جامعي مهتم بمجالات الأمن والبرمجة.

التعليقات (10)Add Comment
عبدالمهيمن الآغا
...
أرسلت بواسطة: عبدالمهيمن الآغا في July 22, 2010
بصراحة لم يتسنى لي الكتابة عن هذه الثغرة أو متابعة تفاصيلها لإنشغالي ببرمجة وإطلاق لعبة التحدي خلال الفترة الماضية.

ما كنت لأأكتب أفضل من هذا المقال. شكراً لك =)
سعد المطيري
شكرا
أرسلت بواسطة: سعد المطيري في July 22, 2010
مشكور اخوي لاكن ما شرحت طريقة الاستغلال
أمين الحــــــــــــربي
شـــــــــــكراً
أرسلت بواسطة: أمين الحــــــــــــربي في July 23, 2010
بصراحة موضوع حلو تستحق علية الشكر أخي مصطفى

جزاك الله خير الجزاء


مصطفى
تحديث #1
أرسلت بواسطة: 5yn74x.3rr في July 23, 2010
مقالة رقم 2286198 لـ Microsoft Knowledge Base تتحدث عن "طريقة مؤقتة لتفادي الثغرة ()" .

الفكرة تعتمد على نفس الفكرة المطروحة بالموضوع :)
http://support.microsoft.com/kb/2286198
mrloong
رد
أرسلت بواسطة: mrloong في July 24, 2010
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .

بس لوفية شرح لطريقة الأستغلال كيف بيكون
A. M. Zerouk
...
أرسلت بواسطة: kaptainzero في July 24, 2010
شكرا على هذا الموضوع المفيد :)
مصطفى
تحديث #2
أرسلت بواسطة: مصطفى في August 01, 2010
المجلة التقنية : الكاتب Xacker
Sophos تطلق أداة مجانية للوقاية من الهجمات عبر ثغرة ملفات LNK لنظام Windows

قامت شركة Sophos الأمنية بإطلاق أداة مجانية للوقاية من ثغرة نظام Windows الخاصة بملفات الاختصارات والتي أصابت العالم بالهلع!
ونظراً لكون الثغرة أصبحت مكشوفة للجميع لأكثر من أسبوع ولم تقم Microsoft سوى بالإعلان عن حل وقائي غير عملي ريثما يتم إصدار ترقيع رسمي – وهو تعطيل ملفات الاختصار الأمر الذي يؤدي إلى إظهار جميع الاختصارات على سطح المكتب وفي شريط المهام وقائمة ابدأ بصورة مزعجة وغير مرغوبة إطلاقاً- قامت Sophos بإطلاق هذه الأداة للوقاية من الثغرة.

تقوم الأداة باعتراض ملفات الاختصار التي تحوي على الاستغلال وتقوم بالتحذير من وجود محاولة تنفيذ شفرات برمجية خبيثة عبره. هذا يعني أنها ستقوم بإيقاف المخاطر نتيجة استغلال هذه الثغرة ونشرها عبر وسائط التخزين المحمولة مثل USB stick.

Graham Cluley، أحد كبار الاستشاريين التقنيين في شركة Sophos عقب يقول حول ما يحدث

"لقد رأينا حتى الآن كل من دودتي Stuxnet و Dulkis بالإضافة إلى تروجان Chymin تقوم باستغلال هذه الثغرة في محاولة لمساعدتها على الانتشار أكثر فأكثر وإصابة المزيد من الأنظمة. Stuxnet تصدرت عناوين الصحف والأخبار لكونها تستهدف أنظمة SCADA الخاصة بـ Siemens وتبحث عن مخططات لمنشآت حساسة مثل معامل توليد الطاقة. التفاصيل الخاصة باستغلال هذه الثغرة أصبحت منشورة على الإنترنت، مما يعني بأنها أصبحت مثل لعبة الأطفال للقراصنة الآخرين ليقوموا باستغلالها وإنشاء هجمات جديدة."

يمكن تشغيل الأداة المجانية من Sophos إلى جانب إلى برنامج حماية من الفيروسات دون مشاكل وتضيف طبقة أخرى من الحماية لإيقاف الهجمات الخاصة بهذه الثغرة. على عكس حل Microsoft الوقائي الضعيف لا تقوم هذه الأداة بتشويه ظهور الأيقونات السليمة في نظامك – مما يعني أنك تستطيع متابعة عملك براحة أكبر كما من قبل دون الانزعاج من اختفاء صور أيقونات ملفات الاختصارات.

بالإمكان تحميل أداة “Windows Shortcut Exploit Protection Tool” من Sophos
http://downloads.sophos.com/custom-tools/Sophos Windows Shortcut Exploit Protection Tool.msi


-------------------------
في آخر تحديثات الميتاسبلويت ستجد أنه بإمكانك إنتاج ملف إختصار مصاب يقوم بتشغيل ملف dll سواء مرفق أو عن طريق سيرفر UNC.

وللآن لا يوجد أي ترقيع رسمي من الشركة ,,,


مشكورين عالتعليق إخواني :)
مصطفى
تحديث #3
أرسلت بواسطة: مصطفى في August 03, 2010
تم إصدار الترقيع للثغرة باسم KB2286198 يمكنكم الحصول عليه من خلال التحديثات التلقائية أو من الرابط التالي:

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx



بالنسبة للثغرة نفسها , هذا هو الPOC الذي تم إستعماله في الموضوع:

http://www.ivanlef0u.tuxfamily.org/?p=411


دمتم في حفظ الرحمن
abdelsidi
ثغرة في نظام ويندوز سببها ملفات الإختصارات
أرسلت بواسطة: abdelsidi في August 24, 2010
Exploiting the LNK Vulnerability with Metasploit

http://samsclass.info/123/proj10/LNK-exploit.htm

abdelsidi
ثغرة في نظام ويندوز سببها ملفات الإختصارات
أرسلت بواسطة: abdelsidi في August 24, 2010
windows/browser/ms10_046_shortcut_icon_dllloader excellent Microsoft Windows Shell
LNK Code Execution
windows/browser/ms10_xxx_windows_shell_lnk_execute excellent Microsoft Windows
Shell LNK Code Execution

https://www.metasploit.com/redmine/projects/framework/repository/revisions/9869/entry/modules/exploits/windows/browser/ms10_xxx_windows_shell_lnk_execute.rb

أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول.

busy