کشف نقطه ضعف جدید در Win XP و Server 2003
گزارش هایی درباره سوءاستفاده از یک نقطه ضعف جدید و تاکنون ناشناخته در سیستم های عامل Win XP و Server 2003 دریافت شده که امکان دسترسی به سیستم آسیب پذیر را با حداکثر مجوز و اختیارات فراهم می آورد.
نقطه ضعف جدید در فایل NDProxy.sys شناسایی شده است. این فایل بصورت پیش فرض بر روی سیستم عامل Windows وجود دارد.
در صورت سوءاستفاده موفق از این نقطه ضعف جدید، امکان اجرای هر نوع فرمان و دستوری در سطح Kernel وجود دارد. بدین ترتیب، حمله کننده به سیستم آسیب پذیر قادر خواهد بود، حساب کاربری جدید با مجوز Admin ایجاد کند، داده های ذخیره شده بر روی سیستم را حذف کرده و یا تغییر دهد و همچنین هر برنامه مخربی را بر روی سیستم نصب نماید.
این نقطه ضعف از نوع EoP یا Elevation of Privilege است که باعث ارتقاء غیرمجاز سطح دسترسی به سیستم می شود. این نقطه ضعف مشخصه های یک نقطه ضعف Remote Code Execution را ندارد. لذا برای سوءاستفاده از این نقطه ضعف جدید، حمله کننده باید قبلاً دسترسی به سیستم آسیب پذیر را با هر نوع مجوزی، داشته باشد.
شرکت مایکروسافت با انتشار اطلاعیه ای، ضمن تایید وجود این نقطه ضعف، اعلام کرده که گزارش هایی درباره سوءاستفاده از آن بر روی سیستم های عامل Win XP و Server 2003 دریافت کرده است. سیستم های عامل جدیدتر از Win XP و Server 2003 فاقد این نقطه ضعف می باشند.
شرکت مایکروسافت همچنین اقدام به ارائه یک راه حل موقت برای جلوگیری از سوءاستفاده از نقطه ضعف جدید کرده است. البته این راه حل مستلزم غیرفعال کردن فایل NDProxy.sys است که باعث از کار افتادن برخی سرویس های سیستم که وابسته به TAPI یا Telephony Application Programming Interface هستند، خواهد شد. از جمله این سرویس ها می توان به VPN ،Dialup Networking و RAS یا Remote Access Service اشاره کرد.
همانطور که اشاره شد، برای سوءاستفاده از این نقطه ضعف باید ابتدا دسترسی به سیستم آسیب پذیر داشت. لذا سوءاستفاده کنندگان از این نقطه ضعف جدید، ابتدا از یک نقطه ضعف دیگر در نرم افزار Adobe Reader استفاده می کنند تا به سیستم قربانی دسترسی پیدا کنند و سپس با سوءاستفاده از نقطه ضعف جدید، حداکثر مجوزهای دسترسی به سیستم را به دست می آورند.
نقطه ضعف نرم افزار Adobe Reader که بدین منظور مورد سوءاستفاده قرار گرفته، در اواخر بهار امسال اصلاح و ترمیم شده است.
با توجه به گزارش های دریافتی درباره سوءاستفاده از این نقطه ضعف جدید، به نظر می رسد که اهداف خاصی مدنظر حمله کنندگان است. ولی نحوه انتشار ابزار مخربی که باعث شروع این عملیات می شود، هنوز مشخص نشده است.
شرکت مایکروسافت هنوز زمان مشخصی را برای اصلاح و ترمیم این نقطه ضعف اعلام نکرده است.
