در طی هفته گذشته، گزارش*های زیادی در خصوص سوء*استفاده از یک آسیب*پذیری موجود در کلیه نسخه*های سیستم عامل ویندوز منتشر شده است. حملاتی که برای سوء*استفاده از این آسیب*پذیری طراحی شده*اند، از نحوه نامناسب بارگیری فایل**های کتابخانه*ای بهره می*گیرند. در این روش فرد نفوذگر می*تواند با سوء*استفاده از آسیب*پذیری فوق، کُد مورد نظرش را بر روی رایانه هدف اجرا کند. بسیاری از برنامه‎هایی که بر روی سیستم عامل ویندوز اجرا می*شوند، از کُدها و توابع موجود در فایل*های DLL کمک می*گیرند. در هنگام فراخوانی توابع مورد نظر، ویندوز جهت یافتن فایل DLL مورد نظر به جستجو می*پردازد. در صورتی که نفوذگر بتواند به روش مناسب DLL مورد نظر خود را که حاوی کُدبدافزار است به نرم*افزار معرفی کند، موفق خواهد شد کنترل رایانه فرد قربانی را به*دست گیرد. نکته*ای که در مورد این گروه از آسیب*پذیری*ها وجود دارد، تنوع نرم*افزارهای اجرایی بر روی سیستم عامل ویندوز است که از این روش استفاده نموده و درنتیجه هر کدام از آن*ها ممکن است مورد سوء*استفاده قرار گیرند. از این رو کاربران بایستی به دو نکته اساسی توجه کنند. اول آنکه حتی*الامکان از باز کردن فایل*ها از منابع ناشناس پرهیز کنند و دوم آن*که نسبت به به*روزرسانی تمامی نرم*افزارهای نصب شده بر روی سیستم عامل ویندوز خود به طور جداگانه اقدام کنند.
لیستی از نرم*افزارهایی که تا به حال آسیب*پذیری*شان مُحرز شده *است، توسط این مرکز تهیه شده و در ادامه جهت آگاهی آورده شده است. مجدداً بر خطرناک بودن این گروه از آسیب*پذیری*ها تاکیده شده و از کاربران سیستم عامل ویندوز دعوت می*شود جهت جلوگیری از حملات احتمالی، نهایت دقت را نمایند.
http://nsec.ir/UserImages/file/Commo...ng-AppList.pdf
متخصصان امنیت شبکه بر این باورند که پس از انتشار کد سوء*استفاده از نحوه بارگیری فایل*های DLL در سیستم عامل ویندوز که صدها برنامه کاربردی را در معرض خطر قرار خواهد داد، به*زودی سیل عظیمی از عملیات خرابکارانه صورت خواهد گرفت. این کد سوء*استفاده در روز دوشنبه یکم شهریور ماه 1389 منتشر شده است.
با استفاده از این آسیب*پذیری می*توان به راحتی از بسیاری از برنامه*های قابل اجرا در سیستم عامل ویندوز سوء*استفاده نمود. برای انجام این کار بایستی کاربران را فریب داد و آن*ها را به بازدید از وب سایت*های آلوده یا باز نمودن مستندات مجعول ترغیب نمود.
این آسیب*پذیری ناشی از نحوه بارگیری فایل*های DLL، exe و com در سیستم عامل ویندوز است. درصورتی*که فرد خرابکار بتواند کد بدافزار خود را در قالب یک فایل کتابخانه*ای به نحو مناسب در یکی از شاخه*هایی قرار دهد که نرم*افزار آسیب*پذیر در آن به دنبال فایلی از جنس*های ذکر شده می*گردد، به*راحتی می*تواند کد بدافزار خود را بر روی سیستم قربانی اجرا نماید.
شرکت مایکروسافت بر این باور است که این آسیب*پذیری مربوط به ویندوز نبوده و برنامه*های آسیب*پذیر بایستی خود اقدام به رفع این مشکل در نرم*افزار خود کنند. دلیل این امر آن است که در صورت تغییر دادن نحوه کارکرد توابع Loadlibrary و SetDllDirectory، بسیاری از برنامه*ها مشکل پیدا خواهند نمود. با این حال می*توان با استفاده از روش*های جانبی و موقت، مانع از سوء*استفاده از این آسیب*پذیری شد. جلوگیری از بارگیری فایل*های DLL از بخش*های به اشتراک گذاشته شده شبکه و WebDAV، یکی از چنین راه حل*های جانبی است.

منبع
مرکز تخصصی آپا ( دانشگاه صنعتی اصفهان )

با استفاده از پیکربندی*هایی که در ادامه بدان اشاره می*شود، می*توان تا زمان ارائه یک راه حل اساسی توسط شرکت*های سازنده نرم*افزارهای آسیب*پذیر، جلوی سوءاستفاده از آسیب*پذیری نحوه بارگیری فایل*های DLL را گرفت.

غیرفعال*سازی بارگیری فایل*های کتابخانه*ای از مسیر WebDAV و سایر مکان*های به اشتراک گذاشته شده در شبکه:شرکت مایکروسافت ابزاری منتشر کرده است که با استفاده از آن می*توان قابلیت بارگیری فایل*های کتابخانه*ای از مسیر WebDAV و سایر مکان*های به اشتراک گذاشته شده در شبکه را غیرفعال کرد. راهبران شبکه توسط این ابزار می*توانند در نحوه بارگیری فایل*های کتابخانه*ای در کل سیستم یا فقط برای یک برنامه خاص تغییر به*وجود آورند. درنتیجه احتمال سوء*استفاده از آسیب پذیری کاهش خواهد یافت. برای دریافت این ابزار و همچنین اطلاع یافتن از نحوه عملکرد آن می*توانید به آدرس A new CWDIllegalInDllSearch registry entry is available to control the DLL search path algorithm مراجعه فرمائید. به راهبران شبکه اکیداً توصیه می*شود که با توجه به لیست برنامه*های آسیب*پذیری که توسط این مرکز تهیه شده است، اقدام به تغییر نحوه بارگیری فایل*های کتابخانه*ای برای این برنامه*ها نمایند.

غیرفعال*سازی سرویس WebClient:پس از غیرفعال*سازی سرویس، امکان سوء*استفاده از این طریق به*طور کامل منتفی نشده و هنوز می*توان مثلاً نرم*افزار Microsoft Office Outlook را وادار به اجرای برنامه*ای در خود سیستم فرد قربانی یا در شبکه LAN وی نمود. با این*حال غیرفعال*سازی این سرویس باعث می*شود که قبل از اجرای برنامه از طریق اینترنت، از کاربر تائیدیه گرفته شود. برای غیرفعال*سازی سرویس بایستی مراحل زیر را به*ترتیب اجرا نمود:
اجرای برنامه Start/Run/Services.msc
انتخاب سرویس WebClient و مشاهده گزینه Properties آن
تغییر وضعیت Startup Type به حالت Disable (اگر سرویس در حال اجرا می*باشد، ابتدا بایستی آن را Stop نمود).
تائید تغییرات و خارج شدن از برنامه فوق

اعمال تغییرات فوق باعث می*شود که درخواست*های WebDAV ارسال نشوند. به*علاوه تمامی سرویس*هایی که به آن وابسته هستند نیز غیرفعال می*شوند و پیغام*های خطای آن در فایل log سیستم ثبت می*شوند. برای فعال*سازی مجدد سرویس WebClient بایستی مراحل زیر به*ترتیب انجام گیرند:
اجرای برنامه Start/Run/Services.msc
انتخاب سرویس WebClient و مشاهده گزینه Properties آن
تغییر وضعیت Startup Type به حالت Automatic (اگر سرویس متوقف می*باشد، بایستی آن را Start نمود).
تائید تغییرات و خارج شدن از برنامه فوق

مسدود نمودن پورت*های TCP با شماره*های 139 و 445 در دیواره آتش:با مسدود نمودن این دو پورت جلوی سوء*استفاده از این آسیب*پذیری گرفته می*شود ولی در عوض ممکن است در عملکرد بسیاری از سرویس*ها یا برنامه*های کاربردی ویندوز اختلال به*وجود آید. برخی از این سرویس*ها و برنامه*ها عبارتند از:

Server - File and Print Sharing
Group Policy
Net Logon
Distributed File System - DFS
Terminal Server Licensing
Print Spooler
Computer Browser
Remote Procedure Call Locator
Fax Service
Indexing Service
Performance Logs and Alerts
Systems Management Server
License Logging Service
در کنار راه حل*های جانبی فوق، این مرکز توصیه می*نماید که روش*های زیر نیز مورد توجه قرار گیرند:

استمرار استفاده از روش*های محافظت عمومی از رایانه:به*عنوان یک راه حل همیشگی، بایستی راهبران شبکه با استفاده مناسب از دیواره*آتش، نرم*افزار و سخت*افزار آنتی*ویروس، به*روزسانی ویندوز و سایر نرم*افزارها و ... از شبکه خود محافظت نمایند.

به*روزرسانی نرم*افزارهای آسیب*پذیر:همان*گونه که قبلاً اشاره شد، لیست کامل نرم*افزار*های آسیب*پذیرنسبت به نحوه بارگیری فایل*های DLL توسط این مرکز جمع*آوری و اعلام شدهاست. این لیست به*طور روزانه به*روزرسانی خواهد شد. لازم است راهبران شبکهبا توجه به نرم*افزارهای نصب شده در شبکه خود، اقدامات لازم را جهتبه*روزرسانی این نرم*افزارها به*عمل آورند. البته با توجه به تنوعنرم*افزارهای موجود در لیست، به*نظر می*رسد که رفع کامل این آسیب*پذیری درتمامی نرم*افزارهای اشاره شده ماه*ها طول بکشد. اما از آن*جایی*که در لیستمورد اشاره تعداد بسیار زیادی از نرم*افزارهای پرکاربرد مورد استفاده درسطح کشور مشاهده می*شود، بایستی راه حل*های جانبی مورد اشاره نیز مد نظر قرارگیرند.


موضوعات مشابه: