شرکت مایکروسافت اصلاحیههایی منتشر کرده تا یک نقطه ضعف حیاتی را که می تواند کنترل سیستم های Windows را مورد تهدید قرار دهد، ترمیم کند. این نقطه ضعف برای شبکههای سازمانی اهمیت بیشتری دارد. برای تهیه این اصلاحیهها بیش از یکسال وقت صرفشده و نیازمند بازنگری های اساسی در بخش هایی از سیستم عامل Windows بوده است.
MS15-011 MS15-014 که بیش از یکسال صرف طراحی، تهیه و تست آنها شده، یک ضعف دربخشGroup Policy سیستمعاملWindows را برطرفو اصلاح می کند. دو شرکت امنیتی که این ضعف را کشف کرده اند، آنرا JASBUG نامگذاری کرده اند.
دو شرکتامنیتی به نامهایJas Global و SimMachines در مورد این آسیبپذیری به صورت رسمی در ژانویهی ۲۰۱۴ اطلاعاتی را بهمایکروسافت ارائه کرده بودند. درتوصیهنامهی این آسیبپذیری آمده است: ( این آسیبپذیری از راهدور قابل سوءاستفاده است و ممکن است برای مهاجم دسترسی مدیر سامانهرا در ماشین یا دستگاه قربانیفراهم کند. ماشینهایی که از طریقActive Directory به شبکهی محلی متصل شدهاند و از طریق اینترنت یا شبکهیخصوصی مجازی VPN به خارج از شبکهی محلی دسترسی دارند، در خطر بیشتریقرار دارند.)
امکان Group Policy در سیستم عاملWindows برایتعریف و مدیریت متمرکز سیستم هایWindows،نرم افزارهای کاربردی و تنظیمان کاربران در محیط Active Directory بکار می رود.
Active Directory یک سرویس مبتنیبر پایگاه داده است که در ویندوز تعبیه شده ومانند یک محافظ امنیتی، برای کاربران و گروهها، مجوزها و دسترسیهای لازم را ایجاد میکند ومحل دقیق منابع شبکه را در نقشهی شبکه مشخص میکند.
باید توجهداشت این ضعف که بیشتر از یک دهه درWindows وجودداشته و شناسایی نشده بود، برخلاف ضعف های اخیر، نظیر Heartbleed وShellshock،یک اشکال برنامه نویسی نیست و بلکه یک ایراد اساسی در طراحی اولیه Group Policy بوده است. برای ترمیم این ضعف طراحی، مایکروسافت مجبور بهبازنگری اساسی بخش هایی از سیستم عامل شده و ناچاراً امکانات جدیدی را نیز اضافهکرده است.
نفوذگر میتوانند با سوء استفاده از این ضعف، بر روی شبکه محلی به روش های مختلف، کامپیوترهارا فریب دهد تا تنظیمات جدید و مخربGroup Policy را از یکسرور تحت کنترل نفوذگر پذیرفته و اعمال کنند. با سوء استفاده موفق از ضعف Group Policy می توان بر روی سیستم های آسیب پذیر اقدام به نصب برنامه،تغییر داده ها، ایجاد حساب کاربری جدید کرد. اصلاحیه MS15-011 مانع از این سوء استفاده ها خواهد شد.
برایجلوگیری از دستکاریDomain Controller توسط نفوذگران در زمان دریافت تنظیمات Group Policy توسط یک ایستگاه کاری در شبکه محلی، شرکت مایکروسافت ناچاربه افزودن قابلیت جدیدی به نامUNC Hardened Access شده است. این قابلیت توسط اصلاحیه MS15-014 به سیستم عاملWindows افزوده میشود.
هنگامی کهاین قابلیت جدید فعال می باشد، ضروری است که قبل از دسترسی ایستگاه کاری به منابع UNC، نظیر تنظیماتGroup Policy،ایستگاه کاری و سرور همدیگر را تائید(authenticate) کنند.همچنین امکاناتی برای رمزگذاری و تائید اصالت ارتباط سرور و ایستگاه کاری به سیستمعامل افزوده شده است. برای استفاده از این قابلیت و امکانات جدید، مایکروسافتراهنمایی را تهیه و منتشر کرده است.
در سناریوی حملهای که توسط محققان مایکروسافت در وبلاگ اینشرکت قرار گرفته برای سوءاستفاده از این آسیبپذیری در یک ماشین که به شبکهی WiFi عمومی متصل است، باید گامهای زیر راطی کرد:
۱- شنود ترافیکسوییچ و کشف ماشینی که تلاش میکند یک پرونده را از آدرس UNC مانند آدرس زیر دریافت کند:
۱۰٫۰٫۰٫۱۰۰ShareLogin.bat
۲- در ماشین مهاجمیک مسیرShare ایجاد میشودکه دقیقاً با درخواست قربانی همانند شده است:
*ShareLogin.bat
۳- مهاجم مطمئن میشودکه درخواست کاربر از ماشین خودش میگذرد
۴- نسخهی مخربی ازپروندهی درخواستی کاربر به سمت قربانی ارسال میشود، البته این سناریو نشان میدهدمهاجم برای سوءاستفاده از این آسیبپذیری باید به شبکهی محلی کاربر دسترسیداشته باشد
he Windows OS versionsimpacted by the JASBUG flaw are:
·Windows Vista
·Windows 7
·Windows 8
·Windows RT
·Windows 8.1
·Windows RT 8.1
·Windows Server 2003
·Windows Server 2008
·Windows Server 2008 R2
·Windows Server 2012
·Windows Server 2012 R2
این آسیبپذیریمربوط به مولفهیGroup Policy از نرمافزار Active Directory است، که منجر میشود در مرحلهی بازیابی سیاستهای تعریفشدهنرمافزار شکست بخورد و برخی سیاستهای پیشفرض را بارگذاری کند.
هنوز مشخص نشده است که سناریوی حملات علیه شبکههایی که از VPN استفاده میکنند چیست، اما به صورتتئوری این مسئله ممکن است.
گرچه ضعف Group Policy در تمام نسخه های سیستم عامل Windows وجود دارد ولی شرکت مایکروسافت تصیمیم گرفته تا اصلاحیه ایبرای نسخهWindows Server 2003 که پشتیبانی آن به زودی به پایان خواهد رسید، منتشر نکند.به گفته مایکروسافت، اصلاحGroup Policy در Server 2003 نیازمند تغییرات بسیار اساسی در ساختار سیستم عامل است کهدر نهایت می تواند منجر به مشکلات عدم سازگاری Windows با نرم افزارهای کاربردی گردد.
نصب دواصلاحیهMS15-011 و MS15-014 که بخشی از اصلاحیه های امنیتی ماهانه مایکروسافت برای ماهمیلادی فوریه هستند که روز سه شنبه ۲۱ بهمن ماه منتشر شده اند، به مدیرانشبکه و کاربران توصیه می گردد.
http://blogs.technet.com/b/srd/archive/2015/02/10/ms15-011-amp-ms15-014-hardening-group-policy.aspx
https://technet.microsoft.com/en-us/library/security/ms15-011.aspx
https://technet.microsoft.com/en-us/library/security/ms15-014.aspx
علیرضا قهرود
SOC _ عضو تیم مرکز عملیاتامنیت
شرکت نوآوران ارتباطاتدوران ( عضو گروه دوران )
ارسال نظر