الباحث الأمني الذي اكتشف سابقاً ثغرة في SMB2 تؤدي لحجب الخدمة في ويندوز 7 و فيستا قبل شهرين من الآن اكتشف ثغرة DoS أخرى تمكّن المهاجم من ايقاف عمل أي جهاز يعمل بنظام ويندوز 7 أو ويندوز سيرفر 2008 عن بعد! ونشر الباحث الأمني استغلال الثغرة بشكل علني في مدوّنته بعد مرور 3 أيام على اعلام مايكروسوفت بالثغرة.

Microsoft Windows

 

مكتشف الثغرة Laurent Gaffie كتب في مدوّنته أنه أبلغ Microsoft Security Response Center عن الثغرة بتاريخ 8 نوفمبر ثم نشر الاستغلال المؤلّف من بضعة أسطر والمكتوب بلغة بايثون بشكل علني في مدوّنته وبعض المواقع الأمنية الأخرى بتاريخ 11 نوفمبر لأن MSRC حسب ادعاؤه حاولوا اقناعه بأن الثغرة ليست مرتبطة بنظام ويندوز فقط وهي متعلّقة بـ IPv6 ويجب ألا تظهر في التقرير الأمني للتحديثات القادمة!!

الجدير بالذكر أن الثغرة السابقة اكتشفت بشهر سيبتمبر ومايكروسوفت لم تصدر ترقيع لها الا بعد مرور شهر تقريباً على نشر الاستغلال بشكل علني ولقد تطوّر الاستغلال لاحقاً ونشر في مشروع ميتاسبلويت 3.3-dev لتصبح الثغرة بالنهاية Remote Code Execution  في ويندوز فيستا وسيرفر 2008 عوضاً عن Denial of Service فقط.

حتى الآن مايكروسوفت لم تؤكد وجود الثغرة وهذا يعني عدم وجود أي تحديث بعد! مع العلم أن شركة Trend Micro أكدّت اصابة Windows 7 بها!

كحل مؤقّت لحماية النظام من هذه الثغرة يجب ايقاف خدمة مشاركة الملفات في نظام ويندوز وحجب المنفذ 445 باستخدام الجدار الناري مع العلم أن هذا لن يعتبر حل نهائي فمن الممكن استغلال الثغرة أيضا في حال قام المستخدم بفتح رابط باستخدام المتصفّح أو عن طريق NetBIOS Name Serving!

الغريب في الموضوع أن Laurent توعّد في نهاية التقرير بنشر مزيد من الثغرات التي تستهدف أنظمة ويندوز قريباً وبالنسبة لي أرى أن المكتشف نجح بإيذاء شركة مايكروسوفت وأنظمة Windows بشكل كبير.

 

للاطلاع على الاستغلال ولمزيد من المعلومات: Laurent Gaffie blogCVE-2009-3676

تحديث: شركة مايكروسوفت أكّدت وجود الثغرة واصابة نظام ويندوز 7 و ويندوز سيرفر 2008 R2

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn