وصله‌ی حفره‌ی افزایش دسترسی در ابزار به‌روزرسانی سامسونگ

محققان گفتند که مجموعه‌ای از آسیب‌پذیری‌ها در نرم‌افزار به‌روزرسانی سامسونگ SW به مهاجمان اجازه می‌دهد تا سطح دسترسی خود را در سامانه‌هایی که این ابزار در آن‌ها نصب است بالا ببرند.

نرم‌افزار SW Update برنامه‌ای است که در همه‌ی رایانامه‌های سامسونگ به صورت پیش‌فرض نصب شده است و به کاربران کمک می‌کند تا نرم‌افزارها و راه‌اندازهای خود را به‌روزرسانی کنند. بنجامین گنام از شرکت امنیتی بلو فروست کشف کرده است که این ابزار دارای یک نوع آسیب‌پذیری است که می‌تواند توسط مهاجمی که اجازه یافته مورد بهره‌برداری قرار گیرد تا سطح دسترسی خود را بالا ببرد.

به گفته‌ی این محقق، نرم‌افزار SW Update یکی از خدمات خود را به نام SWUpdateService نصب می‌کند که دارای سطح دسترسی SYSTEM است. پرونده باینری این نرم‌افزار در پوشه‌ی ProgramData قرار دارد که هر کاربر دارای اجازه‌ای می‌تواند در آن به ایجاد پرونده‎های جدید بپردازد. هنگامی که SWUpdateService اجرا می‌شود، تلاش می‌کند تا چندین پرونده DLL را از این پوشه بارگذاری کند. اگر این پرونده‎های DLL موجود نباشند، می‌توانند توسط کاربر ایجاد شوند و هنگامی که این برنامه‌ی خدماتی اجرا می‌شود با سطح دسترسی SYSTEM اجرا شوند.

این کار به مهاجمان اجازه می‌دهد تا با قرار دادن پرونده‎های DLL دست‌کاری شده در پوشه‌ی SW Update کنترل کاملی بر روی سامانه داشته باشند. گنام خاطر نشان می‌کند، هنگامی که یک مهاجم دارای سطح دسترسی یک کاربر معمولی است، نمی‌تواند این برنامه خدماتی را دوباره راه‌اندازی کند، این مهاجم به راحتی دستگاه را مجدداً راه‌اندازی کرده و یا صبر می‌کند تا خود کاربر این کار را انجام دهد. این آسیب‌پذیری می‌تواند برای مهاجم مخربی که در حال حاضر در سطح دسترسی محدود به سامانه قربانی قرار دارد، بسیار مفید باشد.

این حفره در تاریخ ۲۵ آوریل به سامسونگ گزارش شده است و تقریباً یک ماه بعد با انتشار نسخه‌ی SW Update ۲.۲.۲.۲۴ وصله شده است. به عنوان راه‌حلی برای این مسئله، فهرست کنترل دسترسی ALC می‌تواند به گونه‌ای پیکربندی شود که کاربران معمولی نتوانند در پوشه‌ی این نرم‌افزار پرونده‎های را قرار دهند و یا در آن بنویسند.

این اولین باری نیست که محققان آسیب‌پذیری‌هایی را در ابزار SW Update شرکت سامسونگ یافته‌اند. در ماه مارس شرکت Core Security گزارش داد که حفره‌ای را یافته که می‌تواند سامانه را در معرض حملات مرد میانی (MitM) قرار دهد.

همچنین ابزارهای به‌روزرسانی و پشتیبانی سایر شرکت‌ها نیز دارای آسیب‌پذیری‌های جدی هستند. یک تجزیه و تحلیل دقیق که اخیراً به وسیله‌ی شرکت امنیتی Duo صورت گرفته است نشان می‌دهد که ابزارهای نصب شده در رایانه‌های شرکت‌های ایسر، ایسوس، دل، اچ‌پی و لنوو نیز کاربران را در معرض حملات راه دور قرار می‌دهند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.