بهره‌برداری کد نفوذی Hot Potato از آسیب‌پذیری قدیمی ویندوز

Stephen Breen از شرکت امنیتیShmoocon Foxglove آسیب‌پذیری‌های کهنه را در سامانه‌ی عامل ویندوز را که به مهاجم اجازه می‌دهند به نسخه‌های ویندوز تا ۸.۱ دسترسی محلی داشته باشند، افشاء کرد.
این آسیب‌پذیری روز صفرم، در ماه سپتامبر به مایکروسافت گزارش شده است، ولی هنوز اصلاحیه‌ای برای آن منتشر نشده است، در اثر این مشکل راهی مطمئن برای مهاجمان، جهت گرفتار کردن ویندوز و ضربه زدن به سامانه‌ی کاربران ایجاد می‌شود.
Breen کد نفوذی این حمله را منتشر کرده و در پی سخن‌رانی خود در آخر هفته در واشنگتن آن را سیب‌زمینی داغ یا همان Hot Potato نامیده است.
Breen می‌گوید: «Hot Potato از مشکلات شناخته‌شده در ویندوز استفاده می‌کند تا امتیازهای محلی را در تنظیمات پیش‌فرض ویندوز بالا ببرد، امتیازهایی که عبارتند از: NTLM relay -\- specifically HTTP-SMB relay – و NBNS spoofing.»
«با استفاده از این روش، ما می‌توانیم امتیازمان را روی ایستگاه‌های کاری ویندوز از پایین‌ترین سطح تا بالاترین مرحله‌ای که در سامانه‌ی عامل ویندوز وجود دارد، ارتقاء دهیم.»
«این مسأله‌ای مهم است زیرا متأسفانه سازمان‌ها برای حفاظت از شبکه‌های خود از امتیازات داده‌شده در ویندوز استفاده می‌کنند.»
این کار روش‌‌های خود را از پروژه‌ی روز صفرم گوگل قرض گرفته است.
مهاجمانی که از این روش استفاده می‌کنند، بعد از این‌که اولین دسترسی سطح پایین را دریافت کردند، وضعیت مرسومی که نفوذگرهای کلاه‌سیاه و آزمون‌گرهای نفوذ از آن استفاده می‌کنند، می‌توانند حرکت جانبی خود را در شبکه از جایی که میزبانان دیگر حضور دارند آغاز کنند.
Breen می‌گوید: «به دست آوردن دسترسی با امتیاز بالا بر روی یک میزبان،‌ اغلب یک مرحله‌ی مهم در آزمون نفوذ است، و معمولاً به شیوه‌ی موردی استفاده می‌شود، زیرا که هیچ سوءاستفاده‌ی عمومی شناخته‌شده و یا روش‌‌هایی که به صورت کامل آن را شرح کند، وجود ندارد.»
مایکروسافت عنصر آسیب‌پذیر در حمله را از آغاز این قرن شناخته است، اما مشکلات مربوط به سازگاری با نسخه‌های قدیمی، انجام تعمیرات را دشوار کرده است.
حمله‌کنندگان نیاز دارند تا به هنگام بهره‌برداری از این مشکل به خاطر برخی از سرویس‌های لایه لایه‌ی ویندوز صبور باشند.
Breen در نموداری نشان می‌دهد که چگونه ویندوز ۷ با استفاده از باینری potato.exe می‌تواند از ساز و کار به‌روزرسانی Windows Defender سوءاستفاده کند.
علاوه بر این، این کار در ویندوز سرور ۲۰۰۸ و ۲۰۱۲ نیز موفقیت‌آمیز است، اما این بهره‌برداری می‌تواند تمام روز به خاطر تغییرات در فرآیند به‌روزرسانی ویندوز طول بکشد.
کار Breen شامل حملات جعل اسم سرویس NetBIOS در سراسر دامنه‌ی شبکه است که با ماژولی برای ابزار پاسخ‌گویی معمول درهم آمیخته می‌شود. او نشان می‌دهد که ممکن است این حملات در سراسر شبکه جریان یابند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.