| ثغرة Privilege Escalation في جميع اصدارات نظام ويندوز |
| الكاتب عبدالمهيمن |
| الخميس, 21 يناير 2010 18:03 |
|
نشر باحث أمني Tavis Ormandy من فريق Google الأمني استغلال علني لثغرة 0-Day اكتشفت في كيرنل جميع اصدارات نظام Windows (بدءً من 3.1 وحتى ويندوز 7) من نوع Privilege Escalation تمكّن الثغرة المهاجم الذي يمتلك صلاحيات مستخدم على النظام من تخطّي الصلاحيات المحددة له والحصول على صلاحيات SYSTEM.
معنى الكلام السابق أن الثغرة موجودة في نظام ويندوز منذ الاصدار 3.1 أي قبل 18 سنة تقريباً ومازال بامكاننا استغلالها بالوقت الحالي على جميع اصدارات ويندوز من ضمنهم ويندوز 7! أما سبب الثغرة فيعود لخطأ برمجي اكتشف في Virtual DOS Machine نظام محاكاة برامج DOS والبرامج التي تعمل في بيئة 16-bit والذي أضيف الى كيرنل ويندوز 3.1 في عام 1993 وهذا يفسّر سبب اصابة جميع اصدارات كيرنل ويندوز رغم التطويرات الكبيرة التي حصلت فيها. مع العلم أن أنظمة ويندوز 32-bit هي المصابة بالثغرة فقط لعدم وجود نظام VDM في كيرنل اصدارات 64-bit من نظام Windows. شركة مايكروسوفت أكّدت اصابة أنظمتها بالثغرة لكن بالوقت الحالي لا يوجد تحديث للنظام وكحل مؤقت يمكن لمدراء السيرفرات تعطيل خاصية التوافقية مع برامج 16-bit والتي يمكن تعديلها باستخدام Group Policy من المسار التالي: Administrative Templates\Windows Components\Application Compatibility\Prevent access to 16-bit applicationsالجدير بالذكر أن هذه الثغرة هي الثانية في هذا الشهر من نوع 0-Day يتم نشرها بشكل علني فلقد انتشار قبل بضعة أيام استغلال آخر لثغرة خطيرة أصابت جميع اصدارات متصفح Internet Exploere واستخدمت من قبل جماعات صينيّة لشن هجمات على عدّة شركات أجنبية من ضمنهم Google وشركة Adobe.
لمزيد من المعلومات: SecLists للاطلاع على الاستغلال: KiTrap0D_637c9310d60e25743e67f5a7dd2851c5.zip التعليقات (16)
  أرسلت بواسطة: نورالدين القيرواني في January 21, 2010
اشيع مأخرا أن شركة ميكروسوفت سلمت جهات صينية معلومات عن ثغرات بمتصفحها لاستغلالها في اختراق بريد معارضين سياسيين و ناشطي حقوق انسان على Gmail
قد تكون هذه الثغرة القاتلة كتصفية حسابات بين قوقل و ميكروسوفت و ما خفي أعظم فالاختراقات التي وقعت مع قوقل في المدة الاخيرة كما تسربت معلومات عن قيام فريق مجهول باختراق احدى سرفرات قوقل المأنة في كاليفورنيا انزال ثغرة خطيرة بهذا الحجم و في هذا الوقت و هي مكتشفة في زمن سابق شي محير و يبعث على الريبة
 أرسلت بواسطة: عبد الصمد في January 21, 2010
هل تستطيع شرح اكتشاف و استغلال هذا النوع من الثغرات؟
 أرسلت بواسطة: باحث عن المعرفة في January 22, 2010
سبب العديد من مشاكل مايكرسوفت الحالية هو backward compatibility هناك لليوم شركات تستعمل برامج مضى عليها أكثر من عشر سنوات ولم تقم الشركات بتحديثها لسبب اولي وهو المال.
هذه الثغرة غير موجودة في الانظمة المبينة على معمارية 64-bit لكون تطبيقات 16-bit ملغية فيها. الحل الحالي لهذه المشكلة هو تعطيل خاصيّة دعم برمجيات 16-bit من خلال group policy للشركات التي تستطيع ذلك. الثغرة في متصفح انترنت اكسبلور واستخدامها في الهجوم على غوغل لا تستقيم عقلاً بالنّسبة لي حتى لو قالت شركة مكافي ذلك. :) يعني شركة مثل غوغل لديها متصفّحها الخاص تهاجم بثغرة تستهدف اصدار قديم من متصفح مايكروسوفت؟؟؟ علامات استفهام عديدة هنا. افهم ان تكون ادوبي ضحيّة لهكذا هجوم أمّا غوغل فلا.
أرسلت بواسطة: باحث عن المعرفة في January 22, 2010
احب أن اضيف على تعليقي اعلاه (حتى لا يفهم خطا) هناك كان تعاون بين مايكروسوفت وغوغل حول الثغرة... ولكن ما الذي يجعل غوغل صاحبة المتصفح كروم تصاب بثغرة تستهدف متصفح مايكروسوفت القديم؟ يعني لو شركة ليس لديها امكانيات أو عفول لامعة في امن المعلومات لقلنا فيها وما فيها.. لكن غوغل ... ;)
 أرسلت بواسطة: wesam في January 22, 2010
لكن كيف يمكن استغلال متل هدا النوقع من التغرات واين ملف التغرة
وهل يمكن استغلالها عن طريق الميتاسبلويت يعني ممكن استخدامها ريموت لاختراق سيرفرات وانظمة وندوز المصابة
 أرسلت بواسطة: عبدالمهيمن في January 22, 2010
@نورالدين: لا أتوقع أن مايكروسوفت بهذا الغباء فمن الواضح أن الضرر الذي لحق بها أكبر بكثير من الضرر الذي لحق بجوجل والمعارضين الصينيين.
@عبد الصمد: بالنسبة لي وبالوقت الحالي سيكون الجواب لا بصراحة لأني لست متخصص في الـ Vulnerability Research وتركيزي سابقاً كان منصب على الـ Penetration Testing كما أن استغلال مثل هذا معقد جداً ويتطلب معرفة قوية بلغة C, الهندسة العكسية, استخدام برامج التنقيح بالاضافة لـ Windows API واكتشافه يتطلب الكثير من الوقت والخبرة. أما ان كنت تتكلم على ثغرات Buffer Overflaw بشكل عام فالجواب يعتمد على طبيعة الثغرة, أحياناً أقرأ كود استغلال لثغرة أو حتى ثغرة ميتاسبلويت وأستنتج المشكلة بسهولة وأحياناً قد أستغرق ساعات دون أن أعرف كيف يتم الاستغلال, كذلك اكتشاف الثغرة أحيانا تكتشف ثغرة في برنامج من الدقائق الأولى وأحياناً قد تبقى أيام وأنت تحاول التلاعب بالمدخلات دون أن تصل لنتيجة. @باحث: بصراحة أنا في البداية استغربت مثلك لكن بعد تفكير بالموضوع أتوقع أن الهجوم الذي حصل على Google لم يتم بسبب ثغرة IE فقط بل بسبب ثغرة أخرى موجودة في خدمة Gmail استغلها الهاكرز الصينيين للوصول لحسابات المعارضين الصينيين ترافق مع ذلك استغلال ثغرة IE بنفس الوقت. أفضل ما تقول Google أن الحسابات اخترقت لوجود مشكلة أمنية في Gmail مثلاً رمت المشكلة على مايكروسوفت P: أو لأن كود الاستغلال تم تمريره عن طريق خدمة Gmail وجوجل حصلت على نسخة منه واعلان خبر بوجود ثغرة خطيرة مثل هذه في Internet Explorer سيفيد جوجل أكثر بكثير من الضرر الذي لحق بها. لكن حتماً جوجل لم تخترق لاستخدامها Internet Explorer 6 !!!
أرسلت بواسطة: عبد الصمد في January 23, 2010
@عبدالمهيمن: مشكور على التوضيح أخي...
لكن أكيد هناك في فريقكم عضو مختص بالمجال ده و سنكون ممتنين له إذا عمل شرح لذلك.
 أرسلت بواسطة: Shehab Napster في January 24, 2010
اعتقد ان جوجل بتنقب علي اخطاء ميكروسوفت حتي يكون لنظام تشغيل جوجل القادم
مساحة كبيرة من الشعبية بعد انهيار ميكروسوفت . الاول بدأنا بجي ميل وتم تحطيم هوتميل في عده مرات ثانيا بدأنا بجوجل شورمي وتم تحطيم انترنت اكسبلورر نهااااااائيا والان ويندوز هو المتبقي وماازال التحطيم جاريااااااااااا
 أرسلت بواسطة: GodFather في January 25, 2010
عايز اقول ببساطة شديدة الانسان اثبت فشله على صنع فكرة جديدة مؤامنة 100% ولذلك لازم نكون قادرين على التميز بين الخطا والجهل والدليل ان الثغرة فى كل الاصدارات 32 بيت وحسب الموضوع اصدارات 64بيت خالية من الثغرة ديه ولكن غير خالية من جميع الثغرات وملخص كلامى انه لا اعتقد انه يوجد نظام فى العالم عموما خالى من الثغرات حتى لينكس و باقى الانظمة
أذا اجد ان عنوان مقالى هو خير عنوان لعالم البرمجة والانترنت
 أرسلت بواسطة: محمد علاء في January 28, 2010
مش متفاجئين أبدا من الثغرات ... أولا أحب أشكر كاتب الموضوع على الطرح .. وثانيا . تعودنا نشوف ثغرات كثيرة وجديدة وما لازم نتفاجئ أبدا .. وأقول أن نظام لينوكس اللي ما بيعرفه بيجهله ..
أود أن أطلب على ذكر الثغرات .. أنه لو يتم شرح من أصحاب المعرفة أو الخبرة عن البوت نت وطريقة عمله وطرق الوقاية منه...
 أرسلت بواسطة: nadeem في February 01, 2010
Shehab Napster حتى الآن نظام التشغيل الخاص بجوجل هو موجه للأجهزة ذات القدرات المحدودة ولم تعلن الشركة عن نيتها للدخول في عالم الديسكتوب. انا اتوقغ ان يكون المستقبل لشركة مثل cononical صاحبة ubuntu لما لهم من شعبية متزايدة ولي ببلاش كتر منو ههههههههههههه
وبخصوص ميكروسوفت ادعو الله انو يهدها زي المنشار بتاكل بفلوس العالم
 أرسلت بواسطة: صالح عباس في February 06, 2010
هل يمكنكم شرح استغلال هذة الثغرة وكيفية التخلص منها
أرسلت بواسطة: عبدالمهيمن في February 07, 2010
أخي شركة مايكروسوفت أصدرت تحديثات شهر فبراير قبل يومين تقريباً.. كل ما عليك هو تحديث النظام.
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
هذا الاستغلال انتشر قبل أن تتمكن مايكروسوفت من اصدار ترقيع لثغرة Internet Explorer المقرر اطلاقه اليوم. ويمكننا اعتباره من أخطر الاستغلالات لأنه يصيب جميع اصدارات نظام ويندوز 32-bit وهذا يختلف كثيراً عن ثغرة اكتشتف في نظام Windows Server 2003 فقط على سبيل المثال.
قد لا تشكل هذه الثغرة خطر على المستخدم النهائي بنفس الخطر التي ستشكله على السيرفرات والشبكات.. أغلب المستخدمين يعملون على نظامهم بصلاحيات Administrator بينما في الشبكات الكبيرة والسيرفرات ستكون المشكلة أكبر لوجود تصاريح لكل موظف.. أصبح بامكانه تخطيها الآن وأصبحت مهمة المهاجم أسهل, يكفي اختراق جهاز مستخدم على السيرفر لاختراق السيرفر والشبكة كاملة!
هل لاحظ أحدكم أن الذي بلغ عن ثغرة IE هي Google ومكتشف هذه الثغرة هو باحث أمني في شركة Google أيضاً؟ :)