أخبار الثغرات

ثغرة في نظام ويندوز سببها ملفات الإختصارات

تم أرشفة هذا المحتوى


مقال يتحدث بشكل موجز عن ثغرة في قشرة نظام تشغيل الوندوز تسمح بتنفيذ أكواد على الأجهزة المستهدفة. إنتشرت في الفترة الأخيرة إستغلال لثغرة في نظام ويندوز في التعامل مع ملفات الإختصارات lnk وأردت أن أسلط الضوء عليها بطرح موضوع بسيط.

 

تصيب الثغرة الإصدارات التالية:

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 1 and Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems
  • Windows 7 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems
  • Windows Server 2008 R2 for Itanium-based Systems

في موضوعنا هذا سنقوم بتجربتها على نظامي Windows 7 Ultimate 64bit و Windows XP sp2 64bit بآخر تحديثاتهم.

إستغلال الملف المصاب في المثال يتمثل في تحميل وبدء مكتبة بإسم dll.dll على جذر القرص C, المكتبة ستعرض رسالة للمستخدم حال تحميلها.

بعد تجهيز المكتبة نقوم بوضعها مع الإختصار المصاب على القرص, إعادة تسمية ملف الإختصار ومن ثم تحديث المجلد لإعادة تحميل الإيقونة…

نلاحظ أن المكتبة قد تم تحميلها وقد تم تنفيذ محتوياتها:

 

Windows LNK Exploit

Windows LNK Exploit

 

طبعاَ الإستغلال الضار يكون بإضافة shellcode يقوم بتحميل أو تنفيذ ملفات ضارة مرفقة مع ملف الإختصار, كما في فيروس Stuxnet الذي يعتبر أول إستغلال علني وواسع النطاق للثغرة حيث ينشر الإختصارات المصابة مع نسخة منه في كل أقراص الذاكرة ويقوم بتحميل rootkit يحمل شهادة رقمية موقعة من شركة Realtek Semiconductor Corp. حسب تحليل موقع F-Secure.

الثغرة بشكل عام تعتمد على خطأ في قشرة النظام في التعامل مع أيقونات ملفات الإختصار وبطريقة ما يستطيع الملف المصاب تحويل مجرى التنفيذ إلى الحمولة الخاصة به أي أنها تجري عند أي محاولة للنظام لتحديث إيقونة الملف, عند تصفح المجلد وعند تركيب الأقراص الخارجية حتى.

بما أن الموضوع يعتمد على أيقونات الإختصارات فقد قمت بعمل حل بسيط ومؤقت إلى حين إصدار ترقيع رسمي من الشركة, الطريقة تعتمد على إزالة القيم الخاصة بترجمة أيقونات الإختصارات. صحيح أن ذلك قد يؤثر على الإختصارات كاملة لكنه كما قلت يعتبر حل مؤقت ( أو دائم بالنسبة لمستخدمي نظام Windows XP SP2 ) إلى حين إصدار الترقيع.

نقوم في البداية بفتح محرر التسجيل regedit والذهاب إلى المفتاح التالي:

HKEY_CLASSES_ROOTlnkfileshellexIconHandler

Windows LNK Exploit

 

ومن ثم نقوم بتغيير إسم المفتاح من IconHandler إلى اي إسم آخر مثل : IconHandler-bak , ومن ثم نقوم بإعادة تشغيل الجهاز.

بإعادة التشغيل نجد أن كل الإختصارات بدون أيقوناتها ونستطيع ملاحظة أن الثغرة لم تعد تعمل بسبب التعطيل الحاصل:

 

Windows LNK Exploit

 

قبل تحديث النظام وترقيع الثغرة ضع في حسبانك أن تعيد مفتاح IconHandler إلى اسمه الأصلي لأن الترقيع قد يتعامل مع المفتاح بشكل من الأشكال ولا تنس إعادة التشغيل =)

العديد من شركات الحماية بدأت بإضافة ملفات الإختصارات الضارة إلى برامجها وقواعد بياناتها, لتاريخ اليوم يوجد 10 من أصل 42 برنامج حماية يصنف الملفات على أساس أنها ضارة حسب موقع Virus Total.

سيتم تحديث الموضوع عند نزول الترقيع , وسيتم إرفاق الملف المصاب بعد الترقيع إن شاء الله.

مراجع:

عن الكاتب:


مصطفى العيسائي, طالب جامعي مهتم بمجالات الأمن والبرمجة.

‫11 تعليقات

  1. بصراحة لم يتسنى لي الكتابة عن هذه الثغرة أو متابعة تفاصيلها لإنشغالي ببرمجة وإطلاق لعبة التحدي خلال الفترة الماضية.

    ما كنت لأأكتب أفضل من هذا المقال. شكراً لك =)

  2. شـكــ وبارك الله فيك ـــرا لك … لك مني أجمل تحية .

    بس لوفية شرح لطريقة الأستغلال كيف بيكون

  3. المجلة التقنية : الكاتب Xacker
    Sophos تطلق أداة مجانية للوقاية من الهجمات عبر ثغرة ملفات LNK لنظام Windows

    قامت شركة Sophos الأمنية بإطلاق أداة مجانية للوقاية من ثغرة نظام Windows الخاصة بملفات الاختصارات والتي أصابت العالم بالهلع!
    ونظراً لكون الثغرة أصبحت مكشوفة للجميع لأكثر من أسبوع ولم تقم Microsoft سوى بالإعلان عن حل وقائي غير عملي ريثما يتم إصدار ترقيع رسمي – وهو تعطيل ملفات الاختصار الأمر الذي يؤدي إلى إظهار جميع الاختصارات على سطح المكتب وفي شريط المهام وقائمة ابدأ بصورة مزعجة وغير مرغوبة إطلاقاً- قامت Sophos بإطلاق هذه الأداة للوقاية من الثغرة.

    تقوم الأداة باعتراض ملفات الاختصار التي تحوي على الاستغلال وتقوم بالتحذير من وجود محاولة تنفيذ شفرات برمجية خبيثة عبره. هذا يعني أنها ستقوم بإيقاف المخاطر نتيجة استغلال هذه الثغرة ونشرها عبر وسائط التخزين المحمولة مثل USB stick.

    Graham Cluley، أحد كبار الاستشاريين التقنيين في شركة Sophos عقب يقول حول ما يحدث

    “لقد رأينا حتى الآن كل من دودتي Stuxnet و Dulkis بالإضافة إلى تروجان Chymin تقوم باستغلال هذه الثغرة في محاولة لمساعدتها على الانتشار أكثر فأكثر وإصابة المزيد من الأنظمة. Stuxnet تصدرت عناوين الصحف والأخبار لكونها تستهدف أنظمة SCADA الخاصة بـ Siemens وتبحث عن مخططات لمنشآت حساسة مثل معامل توليد الطاقة. التفاصيل الخاصة باستغلال هذه الثغرة أصبحت منشورة على الإنترنت، مما يعني بأنها أصبحت مثل لعبة الأطفال للقراصنة الآخرين ليقوموا باستغلالها وإنشاء هجمات جديدة.”

    يمكن تشغيل الأداة المجانية من Sophos إلى جانب إلى برنامج حماية من الفيروسات دون مشاكل وتضيف طبقة أخرى من الحماية لإيقاف الهجمات الخاصة بهذه الثغرة. على عكس حل Microsoft الوقائي الضعيف لا تقوم هذه الأداة بتشويه ظهور الأيقونات السليمة في نظامك – مما يعني أنك تستطيع متابعة عملك براحة أكبر كما من قبل دون الانزعاج من اختفاء صور أيقونات ملفات الاختصارات.

    بالإمكان تحميل أداة “Windows Shortcut Exploit Protection Tool” من Sophos
    http://downloads.sophos.com/custom-tools/Sophos Windows Shortcut Exploit Protection Tool.msi

    ————————-
    في آخر تحديثات الميتاسبلويت ستجد أنه بإمكانك إنتاج ملف إختصار مصاب يقوم بتشغيل ملف dll سواء مرفق أو عن طريق سيرفر UNC.

    وللآن لا يوجد أي ترقيع رسمي من الشركة ,,,

    مشكورين عالتعليق إخواني 🙂

  4. تم إصدار الترقيع للثغرة باسم KB2286198 يمكنكم الحصول عليه من خلال التحديثات التلقائية أو من الرابط التالي:

    http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

    بالنسبة للثغرة نفسها , هذا هو الPOC الذي تم إستعماله في الموضوع:

    http://www.ivanlef0u.tuxfamily.org/?p=411

    دمتم في حفظ الرحمن

  5. يلا للعجب عمري سمعت عن هده تغرة لاول مرة اسمعها عنها ومصيبة مصابة بها جميع انطمة
    windows
    مشكور على شرح يا وحش

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى