| ثغرة 0-Day في ويندوز 7 و فيستا تؤدي لحجب الخدمة عن بعد |
| الكاتب عبدالمهيمن الآغا |
| الأربعاء, 09 سبتمبر 2009 03:14 |
|
اكتشف مؤخراً ثغرة 0-Day في خدمة مشاركة الملفات SMB 2.0 بنظام ويندوز 7, ويندوز فيستا و ويندوز سيرفر 2008 تؤدي لحجب الخدمة (Denial of Service) عن بعد وتوقّف النظام عن العمل. استغلال الثغرة لا يتطلّب أي شروط سوى تفعيل خدمة مشاركة الملفات ولقد انتشر أكثر من استغلال للثغرة بشكل علني احداهم لمشروع ميتاسبلويت.
يعود سبب الثغرة لخطأ برمجي عند قيام SRV2.SYS بمعالجة طلب المستخدم للاتصال بسيرفر مشاركة الملفات. حيث يقوم المهاجم بتزييف الهيدر المرسل بعد برمجته بطريقة خاصّة تمكّنه من استغلال الثغرة مما يؤدي لحدوث مشكلة بالنظام وتوقّفه عن العمل. أصابت الثغرة خدمة SMB 2.0 وهي خدمة مشاركة الملفات المستخدم في نظام ويندوز 7, ويندوز فيستا و ويندوز سيرفر 2008 مع العلم أن كلّاً من ويندوز XP و ويندوز 2000 غير مصابين بهذه الثغرة. حسب إحدى التعليقات الواردة في مدوّنة مكتشف الثغرة (Laurent Gaffié) من المحتمل برمجة الاستغلال بطريقة أخرى تمكّننا من تشغيل Shellcode واختراق النظام عن بعد لتصبح الثغرة Remote Code Execution وتضع مايكروسوفت بموقف حرج جداً وليس Denial of Service فقط! بما أننا لا نستطيع القول يجب التحديث بأسرع وقت ممكن ولعدم وجود رد رسمي من شركة مايكروسوفت حتى تاريخ كتابة هذا الخبر نحن ننصح بالاعتماد على جدار ناري لحماية خدمة مشاركة الملفات وتحديد الأجهزة التي يمكن لها الاتصال بالمنفذ 455 ويفضّل تعطيل الخدمة إن أمكن!! حتى تصدر مايكروسوفت ترقيع للثغرة.
لمزيد من المعلومات: Laurent Gaffié blog - CVE-2009-3103 تحديث (28 سبتمبر): الاصدار 3.3-dev من مشروع ميتاسبلويت يحتوي على استغلال Remote لهذه الثغرة. التعليقات (8)
  أرسلت بواسطة: باحث عن المعرفة في September 09, 2009
بعض الملاحظات على هذه الثفرة.
هي موجودة في الأنظمة التالية: Microsoft Windows 2000 Service Pack 4 Windows XP Service Pack 2 and Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 with SP2 for Itanium-based Systems Windows 7 for 32-bit Systems Windows 7 for x64-based Systems Windows Server 2008 R2 for x64-based Systems Windows Server 2008 R2 for Itanium-based Systems هي موجودة في الأنظمة التالية: Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2 Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2 Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 وWindows 7 rc - الثغرة تحتاج إلى تفعيل المشاركة و أن يكون المنفذان 139 و 445 مفتوحان. هذه المنافذ يجب أن تكون مغلقة من ناحية الانترنت. -يمكن تعطيل الخدمة عبر الاتي: sc config lanmanworkstation depend= bowser/mrxsmb10/nsi sc config mrxsmb20 start= disabled
أرسلت بواسطة: باحث عن المعرفة في September 09, 2009
تصحيح هي غير موجودة في الانظمة
Microsoft Windows 2000 Service Pack 4 Windows XP Service Pack 2 and Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 with SP2 for Itanium-based Systems Windows 7 for 32-bit Systems Windows 7 for x64-based Systems Windows Server 2008 R2 for x64-based Systems Windows Server 2008 R2 for Itanium-based Systems
 أرسلت بواسطة: البرنس في September 09, 2009
احلى شي حتى الثغره تكمل ينزل استغلال Remote Code Execution
شكرا عبدو وباحث
 أرسلت بواسطة: ZEZO في September 10, 2009
شكرا لكم على المعلومة
واكيد لو لم ينزل لها تحديث قريبا فسوف تستخدم للتحكم عن بعد
 أرسلت بواسطة: mrloong في September 11, 2009
الله يعطيكم العافيه وشكرا لكم على المعلومة القيمة
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
وبالفعل رح تصير خطيرة