كشف آسيبپذيري روز صفر ويندوز 7 و ويندوز سرور 2008
يك محقق امنيتي فرانسوي توانست بهصورت تصادفي، آسيبپذيري روز صفر (Zero-Day) را در سيستمعاملهاي Windows 7 و Windows Server 2008 R2 كشف كند. او موفق شد اين اشكال امنيتي را هنگام كار روي بهروزرساني ابزار امنيتي ويندوز پيدا كند. اين آسيبپذيري در دو كليد رجيستري با پيكربندي اشتباه براي سرويسهاي RPC Endpoint Mapper و DNSCache كه بخشي از تمام نصبهاي ويندوز است، وجود دارد:
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
كلمان لابرو، محقق فرانسوي كه موفق به كشف حفره امنيتي روز صفر شد، ميگويد مهاجم ميتواند با تغيير كليدهاي رجيستري، يك كليد فرعي را كه معمولا در مكانيسم نظارت بر عملكرد ويندوز استفاده ميشود، فعال كند. معمولا كليدهاي فرعي (Performance) براي نظارت روي عملكرد يك برنامه استفاده ميشوند و بهعلت نقش آنها، اين اجازه را به توسعهدهندگان ميدهند كه براي رديابي عملكرد با استفاده از ابزارهاي سفارشي، پروندههاي DLL خود را بارگيري كنند. در نسخههاي اخير ويندوز، پروندههاي DLL ذكرشده محدود هستند و با امتيازهاي محدود بارگيري ميشوند؛ اما لابرو اظهار داشت كه در ويندوز ۷ و ويندوز سرور ۲۰۰۸، كماكان بارگيري DLL سفارشي با امتيازهاي سطح سيستم (SYSTEM) امكانپذير است.
روز صفر (Zero-Day) بهصورت اتفاقي كشف شد
بيشتر محققان امنيتي، موارد كشفشده را بهصورت خصوصي به مايكروسافت اطلاع ميدهند؛ اما حالا كه اين مورد و شكاف امنيتي كشف شده، واقعا ميتوان گفت بسيار دير شده است. لابرو روز صفر را پس از انتشار بهروزرساني PrivascCheck كشف كرده است؛ ابزاري كه ميتواند نادرست بودن تنظيمات امنيتي ويندوز قابل سوء استفاده توسط بدافزارها را تشخيص دهد. اين بهروزرساني كه ماه گذشته منتشر شد توانست سطح دسترسي براي هك را هم اضافه كند.
لابرو ميگويد فكر نميكرد فايل آپديت جديد، بتواند نقاط ضعف را برجسته كند؛ اما زمانيكه تصميم گرفت يك سري هشدار مربوط به ويندوز ۷ را مورد مطالعه قرار دهد، توانست روز صفر را كشف كند. در آن زمان براي اطلاعرساني خصوصي به مايكروسافت بسيار دير شده بود و او تصميم گرفت اين مورد را در وبلاگ منتشر كند و شرح دهد. در ادامه ZDNet براي شنيدن پاسخ مايكروسافت، سعي در برقراري ارتباط كرد؛ اما سازنده سيستمعامل در واكنش به اين موضوع، هنوز بيانيه رسمي ارائه نكرده است. ويندوز ۷ و ويندوز سرور ۲۰۰۸ به پايان عمر خود رسيدند و ديگر مايكروسافت براي آنها بهروزرساني امنيتي منتشر نميكند. البته برخي از بهروزرسانيهاي امنيتي ازطريق برنامه همراهي پرداختشده ESU براي متخصصان ويندوز ۷ منتشر ميشود؛ اما هنوز پچ جديدي براي رفع اشكال دردسترس قرار نگرفته است. هنوز مشخص نيست آيا مايكروسافت قصد دارد اشكال روز صفر را از بين ببرد. بااينحال ACROS Security يك ميكروپچ تهيه كرده است.اين ميكروپچ توسط نرمافزار امنيتي 0patch نصب و مانع خرابكاريهاي احتمالي ميشود.
هم انديشي ها