آسیب پذیریLSASS در مایكروسافت ویندوز
LSASS vulnerability in Microsoft Windows
آسیب پذیری سرریز شدن بافر، درLSASS وجود دارد كه منجر به اجرای كد از راه دور بر روی سیستم آسیب دیده می شود. حمله گری كه از این آسیب پذیری به طور موفقیت آمیزی استفاده می نماید، می تواند كنترل كاملی از سیستم بدست آورد.
توضیحاتی چند درباره آسیب پذیری LSASS
محدوده آسیب پذیری چیست؟
آسیب پذیریLSASS، آسیب پذیری سرریز بافر می باشد. حمله گری كه به طور موفقیت آمیز از این آسیب پذیری استفاده نماید، می تواند كنترل كاملی از سیستم آسیب دیده را بدست آورد، مثلا می تواند كارهایی چون نصب برنامه ها، مرور، تغییر و حذف داده ها، یا شناسه هایی با اجازه های دستیابی كامل را ایجاد نماید. (جدول 1)
چه چیزی آسیب پذیری را ایجاد می نماید؟
بافر كنترل نشده ای در سرویسLSASS، آنرا ایجاد می كند.
LSASS چیست؟
Local Security Authority Subsystem Service (LSASS) واسطی را برای مدیریت محلی امنیت، تصدیق اصالت دامنه، و پردازه های دایركتوری فعال ایجاد می نماید.LSASS، تصدیق اصالتی را برای كاربر و برای سرور ایجاد می كند. همچنین ویژگیهایی برای پشتیبانی از برنامه های دایركتوری فعال دارد.
حمله گر ممكن است از چه چیزی بر علیه آسیب پذیریاستفاده نماید؟
حمله گری كه به طور موفقیت آمیزی از آسیب پذیری استفاده نماید، می تواند كنترل كامل سیستم آسیب دیده را بدست آورد.
حمله گر چگونه از آسیب پذیری استفاده می نماید؟
در ویندوز 2000 وXP، هر كاربر بدون نامی كه بتواند پیغامی را به سیستم آسیب دیده ارسال كند، می تواند از این آسیب پذیری استفاده نماید.
حمله گر چگونه از آسیب پذیری استفاده می نماید؟
حمله گر می تواند پیغام خاصی را ایجاد نماید و آنرا به سیستم آسیب دیده ارسال نماید، و سپس منجر به اجرای كد بر روی سیستم آسیب دیده گردد. همچنین حمله گر می تواند به صورت محاوره ای به درون سیستمlogin نماید و پارامترها را به اجزاء آسیب دیده ارسال نماید.
Vulnerability Identifiers | Impact of Vulnerability | Windows 98, 98 SE, ME | Windows NT 4.0 | Windows 2000 | Windows XP | Windows Server 2003 |
LSASS Vulnerability | Remote Code Execution | None | None | Critical | Critical | Low |
جدول 1- درباره آسیب پذیریLSASS
عوامل تسكین دهنده آسیب پذیری LSASS
فقط ویندوز 2000 وXP می توانند توسط كاربر بدون نام (anonymous) راه دور مورد حمله قرار گیرند. درحالیكه ویندوز سرور 2003 و ویندوزXP، 64 بیتی نسخه 2003 آسیب پذیر می باشند، فقط توسط كاربر محلی مورد سوء استفاده قرار می گیرند.ویندوزNT 4.0 آسیب پذیر نمی باشند.بهترین تمرینات دیوار آتش و پیكربندی استاندارد پیش فرض دیوار آتش از شبكه ها در برابر حملاتی كه از خارج از سازمان نشات می گیرند، محافظت می كند. توصیه می شود كه سیستمهایی كه به اینترنت متصلند، پورتهای باز كمی داشته باشند.
راههای بهبود آسیب پذیری LSASS
راه حلهای ذیل توسط مایكروسافت پیشنهاد شده است. در حالیكه این راه حلها آسیب پذیر را اصلاح نمی نماید، بلوكهای حمله شناخته شده را اصلاح می نماید.
فایلی به نام%systemroot%/debug/dcpromo.log را ایجاد نمایید و فایل را فقط خواندنی نمایید. برای انجام چنین كاری دستور ذیل را تایپ نمایید:
Echodcpromo >%systemroot%/debug/dcpromo.log & attrib +r %systemroot%/debug/dcpromo.log
لازم به ذكر است كه این تكنیك مفیدترین تكنیك می باشد زیراكه این آسیب پذیری را تخفیف می دهد چون اجازه نمی دهد كه كد آسیب پذیر هیچگاه اجرا گردد. این اقدام برای همه بسته های ارسال شده به پورتهای آسیب پذیر كارساز می باشد.
از دیوار آتش شخصی، مانندICF، كه به همراه ویندوزXP و ویندوز سرور 2003 می باشد، استفاده نمایید.
اگر ازICF در ویندوزXP یا ویندوز سرور 2003 استفاده می نمایید، به طور پیش فرض ترافیك وارد شوند بلوكه می گردد. مایكروسافت توصیه می كند كه همه ترافیك وارد شونده را بلوكه نمایید.
موارد ذیل را بر روی دیوار آتش بلوكه نمایید:پورتهایUDP 135، 137، 138، و 445 و پورتهایTCP 135، 139، 445 و 593.همه ترافیك وارد شونده بر روی پورتهای بزرگتر از 1024.همه پورتهایRPC كه به طور خاص پیكربندی شده اند.
این پورتها برای آغازین دهی اتصال باRPC بكار می روند. با بلوكه شدن این پورتها در دیوار آتش، مانع از این می شوند كه از این آسیب پذیری استفاده گردد. همچنین مطمئن شوید كه همه پورتهایRPC بر روی سیستم راه دور بلوكه می گردند.
فیلترینگ پیشرفتهTCP/IP را برای بلوكه كردن ترافیك وروردی ناخواسته فعال نمایید.پورتهای آسیب دیده را با بكارگیریIPSec بر روی سیستمهای آسیب دیده بلوكه نمایید.
ازIPSec برای حفاظت از اتصالات شبكه استفاده نمایید.
