کمیته رکن چهارم – به تازگی یک آسیبپذیری جدی در سیستمعامل ویندوز شناسایی شده است. این آسیبپذیری همه نسخههای ویندوز از ۹۵ تا ویندوز ۱۰ را تحت تأثیر قرار میدهد.
به گزارش کمیته رکن چهارم،این آسیبپذیری میتواند پس از باز نمودن یک لینک، گشودن یک فایل Microsoft Office و یا حتی با اتصال درایو USB، شرایط اجرای حمله فرد میانی را برای مهاجم فراهم نماید.
Yang Yu کاشف این آسیبپذیری (مؤسس آزمایشگاه Tencent’s Xuanwu) که مبلغ ۵۰۰۰۰ دلار بابت شناسایی این آسیبپذیری دریافت کرده است، در خصوص این آسیبپذیری اظهار نموده که “این آسیبپذیری به احتمال زیاد در کل دوران عمر ویندوز دارای بیشترین تأثیرات امنیتی است”.
جزییات دقیق این آسیبپذیری هنوز منتشر نشده است ولی این آسیبپذیری میتواند به عنوان روشی برای NetBios-Spoofing در شبکه به منظور دورزدن تجهیزات NAT و دیواره آتش مورد سوءاستفاده قرار گیرد. به عبارت دیگر این رخنه میتواند سیستم قربانی را در معرض سوءاستفاده مهاجمینی خارج از شبکه محلی قرار داده و در این شرایط دیواره آتش عملاً از دور خارج شده است (مگر آنکه پورت ۱۳۷ UDP بین شبکه و اینترنت بسته شده باشد).
بر اساس گزارش Yang Yu ، این آسیبپذیری ناشی از زنجیرهای از رخدادها در پروتکلهای لایههای انتقال و کاربرد و نحوه استفاده سیستم عامل از این پروتکلها و نیز نحوه پیادهسازی برخی از پروتکلها در فایروالها و سیستمهای NAT میباشد. البته مهاجم بایستی از نحوه سوء استفاده از این زنجیره اطلاع داشته باشد. در صورت وجود این دانش، برای نوشتن کد سوءاستفاده نزدیک به ۲۰ دقیقه زمان لازم میباشد. کد سوء استفاده در حقیقت ایجاد ابزاری ساده به منظور بستهبندی و ارسال بستههای UDP است.
به نظر میرسد کمپانی مایکروسافت با رفع آسیبپذیری در حلقه پایانی این زنجیره در (Web Proxy Autodiscovery Protocol) WPAD، این آسیبپذیری را کنترل کرده است.
WPAD راهکاری در سیستمعامل است که به منظور شناسایی خودکار فایلهای تنظیمات مرورگر وب با استفاده از جستجوی آدرسهایی ویژه بر روی شبکه محلی آن کامپیوتر مورد استفاده قرار میگیرد. در این شرایط، مهاجم در صورتی که بتواند یکی از این آدرسها را تصرف نماید و یا آدرس جستجو شده را تغییر دهد، امکان دسترسی به فایلهای تنظیمات را خواهد داشت. بنابراین مهاجم میتواند مرورگر قربانی را در جهت ارسال ترافیک به یک مقصد میانی (در قالب حمله فرد میانی) هدایت نماید. تا پیش از کشف آسیبپذیری BadTunnel، به منظور انجام چنین حملهای، مهاجم میبایست به شبکه قربانی دسترسی مییافت و یا با تکیه بر آسیبپذیری domain name collisions در WPAD به دنبال چنین هدفی گام بر میداشت که ترفند دشواری بود.
شرکت microsoft یک وصله به روزرسانی (MS16-077) به منظور رفع این آسیبپذیری منتشر کرده است. نسخههایی از ویندوز که دیگر پشتیبانی نمیشوند (مانند ویندوز XP) بایستی NetBios را در TCP/IP غیرفعال نمایند. به منظور رفع این آسیبپذیری، پیشنهاد میگردد کاربران ویندوز وصله بهروزرسانی را نصب و یا پورت ۱۳۷ udp را مسدود نمایند. به منظور دانلود وصله میتوان به آدرس زیر مراجعه کرد:
https://technet.microsoft.com/en-us/library/security/ms16-077.aspx