آسیب پذیری lsass


آسيب پذيريLSASS در مايكروسافت ويندوز

  LSASS vulnerability in Microsoft

Windows

آسيب پذيري سرريز شدن بافر، درLSASS وجود دارد كه منجر به اجراي كد از راه دور بر روي سيستم آسيب ديده مي شود. حمله گري كه از اين آسيب پذيري به طور موفقيت آميزي استفاده مي نمايد، مي تواند كنترل كاملي از سيستم بدست آورد.

توضيحاتي چند درباره آسيب پذيري LSASS

محدوده آسيب پذيري چيست؟

آسيب پذيريLSASS، آسيب پذيري سرريز بافر مي باشد. حمله گري كه به طور موفقيت آميز از اين آسيب پذيري استفاده نمايد، مي تواند كنترل كاملي از سيستم آسيب ديده را بدست آورد، مثلا مي تواند كارهايي چون نصب برنامه ها، مرور، تغيير و حذف داده ها، يا شناسه هايي با اجازه هاي دستيابي كامل را ايجاد نمايد. (جدول 1)

چه چيزي آسيب پذيري را ايجاد مي نمايد؟

بافر كنترل نشده اي در سرويسLSASS، آنرا ايجاد مي كند.

LSASS چيست؟

Local Security Authority Subsystem Service (LSASS) واسطي را براي مديريت محلي امنيت، تصديق اصالت دامنه، و پردازه هاي دايركتوري فعال ايجاد مي نمايد.LSASS، تصديق اصالتي را براي كاربر و براي سرور ايجاد مي كند. همچنين ويژگيهايي براي پشتيباني از برنامه هاي دايركتوري فعال دارد.

حمله گر ممكن است از چه چيزي بر عليه آسيب پذيرياستفاده نمايد؟

حمله گري كه به طور موفقيت آميزي از آسيب پذيري استفاده نمايد، مي تواند كنترل كامل سيستم آسيب ديده را بدست آورد.

حمله گر چگونه از آسيب پذيري استفاده مي نمايد؟

در ويندوز 2000 وXP، هر كاربر بدون نامي كه بتواند پيغامي را به سيستم آسيب ديده ارسال كند، مي تواند از اين آسيب پذيري استفاده نمايد.

حمله گر چگونه از آسيب پذيري استفاده مي نمايد؟

حمله گر مي تواند پيغام خاصي را ايجاد نمايد و آنرا به سيستم آسيب ديده ارسال نمايد، و سپس منجر به اجراي كد بر روي سيستم آسيب ديده گردد. همچنين حمله گر مي تواند به صورت محاوره اي به درون سيستمlogin نمايد و پارامترها را به اجزاء آسيب ديده ارسال نمايد.

Vulnerability Identifiers Impact of Vulnerability Windows 98, 98 SE, ME Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003

LSASS Vulnerability

Remote Code Execution

None

None

Critical

Critical

Low

جدول 1- درباره آسيب پذيريLSASS

عوامل تسكين دهنده آسيب پذيري LSASS

فقط ويندوز 2000 وXP مي توانند توسط كاربر بدون نام (anonymous) راه دور مورد حمله قرار گيرند. درحاليكه ويندوز سرور 2003 و ويندوزXP، 64 بيتي نسخه 2003 آسيب پذير مي باشند، فقط توسط كاربر محلي مورد سوء استفاده قرار مي گيرند.ويندوزNT 4.0 آسيب پذير نمي باشند.بهترين تمرينات ديوار آتش و پيكربندي استاندارد پيش فرض ديوار آتش از شبكه ها در برابر حملاتي كه از خارج از سازمان نشات مي گيرند، محافظت مي كند. توصيه مي شود كه سيستمهايي كه به اينترنت متصلند، پورتهاي باز كمي داشته باشند.

راههاي بهبود آسيب پذيري LSASS

راه حلهاي ذيل توسط مايكروسافت پيشنهاد شده است. در حاليكه اين راه حلها آسيب پذير را اصلاح نمي نمايد، بلوكهاي حمله شناخته شده را اصلاح مي نمايد.

فايلي به نام%systemroot%/debug/dcpromo.log را ايجاد نماييد و فايل را فقط خواندني نماييد. براي انجام چنين كاري دستور ذيل را تايپ نماييد:

Echodcpromo >%systemroot%/debug/dcpromo.log & attrib +r %systemroot%/debug/dcpromo.log

لازم به ذكر است كه اين تكنيك مفيدترين تكنيك مي باشد زيراكه اين آسيب پذيري را تخفيف مي دهد چون اجازه نمي دهد كه كد آسيب پذير هيچگاه اجرا گردد. اين اقدام براي همه بسته هاي ارسال شده به پورتهاي آسيب پذير كارساز مي باشد.

از ديوار آتش شخصي، مانندICF، كه به همراه ويندوزXP و ويندوز سرور 2003 مي باشد، استفاده نماييد.

اگر ازICF در ويندوزXP يا ويندوز سرور 2003 استفاده مي نماييد، به طور پيش فرض ترافيك وارد شوند بلوكه مي گردد. مايكروسافت توصيه مي كند كه همه ترافيك وارد شونده را بلوكه نماييد.

موارد ذيل را بر روي ديوار آتش بلوكه نماييد:پورتهايUDP 135، 137، 138، و 445 و پورتهايTCP 135، 139، 445 و 593.همه ترافيك وارد شونده بر روي پورتهاي بزرگتر از 1024.همه پورتهايRPC كه به طور خاص پيكربندي شده اند.

اين پورتها براي آغازين دهي اتصال باRPC بكار مي روند. با بلوكه شدن اين پورتها در ديوار آتش، مانع از اين مي شوند كه از اين آسيب پذيري استفاده گردد. همچنين مطمئن شويد كه همه پورتهايRPC بر روي سيستم راه دور بلوكه مي گردند.

فيلترينگ پيشرفتهTCP/IP را براي بلوكه كردن ترافيك وروردي ناخواسته فعال نماييد.پورتهاي آسيب ديده را با بكارگيريIPSec بر روي سيستمهاي آسيب ديده بلوكه نماييد.

ازIPSec براي حفاظت از اتصالات شبكه استفاده نماييد.

source :tebyan

  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: