ثغرة Privilege Escalation في جميع اصدارات نظام ويندوز
نشر باحث أمني Tavis Ormandy من فريق Google الأمني استغلال علني لثغرة 0-Day اكتشفت في كيرنل جميع اصدارات نظام Windows (بدءً من 3.1 وحتى ويندوز 7) من نوع Privilege Escalation تمكّن الثغرة المهاجم الذي يمتلك صلاحيات مستخدم على النظام من تخطّي الصلاحيات المحددة له والحصول على صلاحيات SYSTEM.
معنى الكلام السابق أن الثغرة موجودة في نظام ويندوز منذ الاصدار 3.1 أي قبل 18 سنة تقريباً ومازال بامكاننا استغلالها بالوقت الحالي على جميع اصدارات ويندوز من ضمنهم ويندوز 7! أما سبب الثغرة فيعود لخطأ برمجي اكتشف في Virtual DOS Machine نظام محاكاة برامج DOS والبرامج التي تعمل في بيئة 16-bit والذي أضيف الى كيرنل ويندوز 3.1 في عام 1993 وهذا يفسّر سبب اصابة جميع اصدارات كيرنل ويندوز رغم التطويرات الكبيرة التي حصلت فيها.
مع العلم أن أنظمة ويندوز 32-bit هي المصابة بالثغرة فقط لعدم وجود نظام VDM في كيرنل اصدارات 64-bit من نظام Windows.
شركة مايكروسوفت أكّدت اصابة أنظمتها بالثغرة لكن بالوقت الحالي لا يوجد تحديث للنظام وكحل مؤقت يمكن لمدراء السيرفرات تعطيل خاصية التوافقية مع برامج 16-bit والتي يمكن تعديلها باستخدام Group Policy من المسار التالي:
Administrative TemplatesWindows ComponentsApplication CompatibilityPrevent access to 16-bit applicationsالجدير بالذكر أن هذه الثغرة هي الثانية في هذا الشهر من نوع 0-Day يتم نشرها بشكل علني فلقد انتشار قبل بضعة أيام استغلال آخر لثغرة خطيرة أصابت جميع اصدارات متصفح Internet Exploere واستخدمت من قبل جماعات صينيّة لشن هجمات على عدّة شركات أجنبية من ضمنهم Google وشركة Adobe.
لمزيد من المعلومات: SecLists
للاطلاع على الاستغلال: KiTrap0D_637c9310d60e25743e67f5a7dd2851c5.zip
من الواضح أن الهجمات على شركة مايكروسوفت وبعض الشركات الأخرى أصحاب المنتجات المعروفة مثل أدوبي في تصعّد وهذا سبب بقاء درجة التهديد في iSecur1ty على المستوى 2 لمدة تزيد عن الشهرين!
هذا الاستغلال انتشر قبل أن تتمكن مايكروسوفت من اصدار ترقيع لثغرة Internet Explorer المقرر اطلاقه اليوم. ويمكننا اعتباره من أخطر الاستغلالات لأنه يصيب جميع اصدارات نظام ويندوز 32-bit وهذا يختلف كثيراً عن ثغرة اكتشتف في نظام Windows Server 2003 فقط على سبيل المثال.
قد لا تشكل هذه الثغرة خطر على المستخدم النهائي بنفس الخطر التي ستشكله على السيرفرات والشبكات.. أغلب المستخدمين يعملون على نظامهم بصلاحيات Administrator بينما في الشبكات الكبيرة والسيرفرات ستكون المشكلة أكبر لوجود تصاريح لكل موظف.. أصبح بامكانه تخطيها الآن وأصبحت مهمة المهاجم أسهل, يكفي اختراق جهاز مستخدم على السيرفر لاختراق السيرفر والشبكة كاملة!
هل لاحظ أحدكم أن الذي بلغ عن ثغرة IE هي Google ومكتشف هذه الثغرة هو باحث أمني في شركة Google أيضاً؟ 🙂
اشيع مأخرا أن شركة ميكروسوفت سلمت جهات صينية معلومات عن ثغرات بمتصفحها لاستغلالها في اختراق بريد معارضين سياسيين و ناشطي حقوق انسان على Gmail
قد تكون هذه الثغرة القاتلة كتصفية حسابات بين قوقل و ميكروسوفت و ما خفي أعظم
فالاختراقات التي وقعت مع قوقل في المدة الاخيرة
كما تسربت معلومات عن قيام فريق مجهول باختراق احدى سرفرات قوقل المأنة في كاليفورنيا
انزال ثغرة خطيرة بهذا الحجم و في هذا الوقت و هي مكتشفة في زمن سابق شي محير و يبعث على الريبة
سبب العديد من مشاكل مايكرسوفت الحالية هو backward compatibility هناك لليوم شركات تستعمل برامج مضى عليها أكثر من عشر سنوات ولم تقم الشركات بتحديثها لسبب اولي وهو المال.
هذه الثغرة غير موجودة في الانظمة المبينة على معمارية 64-bit لكون تطبيقات 16-bit ملغية فيها.
الحل الحالي لهذه المشكلة هو تعطيل خاصيّة دعم برمجيات 16-bit من خلال group policy للشركات التي تستطيع ذلك.
الثغرة في متصفح انترنت اكسبلور واستخدامها في الهجوم على غوغل لا تستقيم عقلاً بالنّسبة لي حتى لو قالت شركة مكافي ذلك. 🙂
يعني شركة مثل غوغل لديها متصفّحها الخاص تهاجم بثغرة تستهدف اصدار قديم من متصفح مايكروسوفت؟؟؟ علامات استفهام عديدة هنا. افهم ان تكون ادوبي ضحيّة لهكذا هجوم أمّا غوغل فلا.
احب أن اضيف على تعليقي اعلاه (حتى لا يفهم خطا) هناك كان تعاون بين مايكروسوفت وغوغل حول الثغرة… ولكن ما الذي يجعل غوغل صاحبة المتصفح كروم تصاب بثغرة تستهدف متصفح مايكروسوفت القديم؟ يعني لو شركة ليس لديها امكانيات أو عفول لامعة في امن المعلومات لقلنا فيها وما فيها.. لكن غوغل … 😉
@نورالدين: لا أتوقع أن مايكروسوفت بهذا الغباء فمن الواضح أن الضرر الذي لحق بها أكبر بكثير من الضرر الذي لحق بجوجل والمعارضين الصينيين.
@عبد الصمد: بالنسبة لي وبالوقت الحالي سيكون الجواب لا بصراحة لأني لست متخصص في الـ Vulnerability Research وتركيزي سابقاً كان منصب على الـ Penetration Testing كما أن استغلال مثل هذا معقد جداً ويتطلب معرفة قوية بلغة C, الهندسة العكسية, استخدام برامج التنقيح بالاضافة لـ Windows API واكتشافه يتطلب الكثير من الوقت والخبرة. أما ان كنت تتكلم على ثغرات Buffer Overflaw بشكل عام فالجواب يعتمد على طبيعة الثغرة, أحياناً أقرأ كود استغلال لثغرة أو حتى ثغرة ميتاسبلويت وأستنتج المشكلة بسهولة وأحياناً قد أستغرق ساعات دون أن أعرف كيف يتم الاستغلال, كذلك اكتشاف الثغرة أحيانا تكتشف ثغرة في برنامج من الدقائق الأولى وأحياناً قد تبقى أيام وأنت تحاول التلاعب بالمدخلات دون أن تصل لنتيجة.
@باحث: بصراحة أنا في البداية استغربت مثلك لكن بعد تفكير بالموضوع أتوقع أن الهجوم الذي حصل على Google لم يتم بسبب ثغرة IE فقط بل بسبب ثغرة أخرى موجودة في خدمة Gmail استغلها الهاكرز الصينيين للوصول لحسابات المعارضين الصينيين ترافق مع ذلك استغلال ثغرة IE بنفس الوقت. أفضل ما تقول Google أن الحسابات اخترقت لوجود مشكلة أمنية في Gmail مثلاً رمت المشكلة على مايكروسوفت P: أو لأن كود الاستغلال تم تمريره عن طريق خدمة Gmail وجوجل حصلت على نسخة منه واعلان خبر بوجود ثغرة خطيرة مثل هذه في Internet Explorer سيفيد جوجل أكثر بكثير من الضرر الذي لحق بها. لكن حتماً جوجل لم تخترق لاستخدامها Internet Explorer 6 !!!
لكن كيف يمكن استغلال متل هدا النوقع من التغرات واين ملف التغرة
وهل يمكن استغلالها عن طريق الميتاسبلويت يعني ممكن استخدامها ريموت لاختراق سيرفرات وانظمة وندوز المصابة
هل تستطيع شرح اكتشاف و استغلال هذا النوع من الثغرات؟
@عبدالمهيمن: مشكور على التوضيح أخي…
لكن أكيد هناك في فريقكم عضو مختص بالمجال ده و سنكون ممتنين له إذا عمل شرح لذلك.
اعتقد ان جوجل بتنقب علي اخطاء ميكروسوفت حتي يكون لنظام تشغيل جوجل القادم
مساحة كبيرة من الشعبية بعد انهيار ميكروسوفت .
الاول بدأنا بجي ميل وتم تحطيم هوتميل في عده مرات
ثانيا بدأنا بجوجل شورمي وتم تحطيم انترنت اكسبلورر نهااااااائيا
والان ويندوز هو المتبقي وماازال التحطيم جاريااااااااااا
عايز اقول ببساطة شديدة الانسان اثبت فشله على صنع فكرة جديدة مؤامنة 100% ولذلك لازم نكون قادرين على التميز بين الخطا والجهل والدليل ان الثغرة فى كل الاصدارات 32 بيت وحسب الموضوع اصدارات 64بيت خالية من الثغرة ديه ولكن غير خالية من جميع الثغرات وملخص كلامى انه لا اعتقد انه يوجد نظام فى العالم عموما خالى من الثغرات حتى لينكس و باقى الانظمة
أذا اجد ان عنوان مقالى هو خير عنوان لعالم البرمجة والانترنت
مش متفاجئين أبدا من الثغرات … أولا أحب أشكر كاتب الموضوع على الطرح .. وثانيا . تعودنا نشوف ثغرات كثيرة وجديدة وما لازم نتفاجئ أبدا .. وأقول أن نظام لينوكس اللي ما بيعرفه بيجهله ..
أود أن أطلب على ذكر الثغرات .. أنه لو يتم شرح من أصحاب المعرفة أو الخبرة عن البوت نت وطريقة عمله وطرق الوقاية منه…
Shehab Napster حتى الآن نظام التشغيل الخاص بجوجل هو موجه للأجهزة ذات القدرات المحدودة ولم تعلن الشركة عن نيتها للدخول في عالم الديسكتوب. انا اتوقغ ان يكون المستقبل لشركة مثل cononical صاحبة ubuntu لما لهم من شعبية متزايدة ولي ببلاش كتر منو ههههههههههههه
وبخصوص ميكروسوفت ادعو الله انو يهدها زي المنشار بتاكل بفلوس العالم
هل يمكنكم شرح استغلال هذة الثغرة وكيفية التخلص منها
أخي شركة مايكروسوفت أصدرت تحديثات شهر فبراير قبل يومين تقريباً.. كل ما عليك هو تحديث النظام.
شكرااااااااااااخي عبدالمهيمن
بس يعني لوكان فديو راح تكون احسن لانوا انت قايل مع كل اصدارت الوندوز
ممكن حد يجرب ماتزبط معك كذا بيقول مش مع كل اصدارت ويبقى نقاش …..
|♥|♥|♥|♥|♥|♥|♥|> ♥ لقد جمعتا المحبة في الله فمن يفرقنا< |♥|♥|♥|♥|♥|♥|♥|
هل من أحد يخبرنا عن ميكانيكيه الثغره و تطبيقها !