آسیب‌پذیری Group Policy ویندوز پس از ۱۵ سال وصله شد

نصب دو اصلاحیه MS15-011 و MS15-014 که بخشی از اصلاحیه های امنیتی ماهانه مایکروسافت برای ماه میلادی فوریه هستند که روز سه شنبه ۲۱ بهمن ماه منتشر شده اند، به مدیران شبکه و کاربران توصیه می گردد.

مایکروسافت در هفته‌ی گذشته یک خطای ۱۵ ساله که در تمام نسخه‌های ویندوز وجود داشت را وصله کرد. این خطای امنیتی به همهاجم این امکان را می‌دهد که کنترل  کامل  رایانه‌ی شخصی قربانی را در دست بگیرد.

به گزارش تکنــــــــــــــازدانلود: شرکت مایکروسافت اصلاحیه هایی منتشر کرده تا یک نقطه ضعف حیاتی را که می تواند کنترل سیستم های Windows را مورد تهدید قرار دهد، ترمیم کند. این نقطه ضعف برای شبکه های سازمانی اهمیت بیشتری دارد. برای تهیه این اصلاحیه‌ها بیش از یکسال وقت صرف شده و نیازمند بازنگری های اساسی در بخش هایی از سیستم عامل Windows بوده است.

اصلاحیه‌های MS15-011 و MS15-014 که بیش از یکسال صرف طراحی، تهیه و تست آنها شده، یک ضعف در بخش Group Policy سیستم عامل Windows را برطرف و اصلاح می کند. دو شرکت امنیتی که این ضعف را کشف کرده اند، آنرا JASBUG نامگذاری کرده اند.

دو شرکت امنیتی به نام‌های Jas Global و simMachines در مورد این آسیب‌پذیری   به صورت رسمی در ژانویه‌ی ۲۰۱۴ اطلاعاتی را به مایکروسافت ارائه کرده   بودند. در توصیه‌نامه‌ی این آسیب‌پذیری آمده است:‌ «این آسیب‌پذیری از راه   دور قابل سوء‌استفاده است و ممکن است برای مهاجم دست‌رسی مدیر سامانه را  در  ماشین یا دستگاه قربانی فراهم کند. ماشین‌هایی که از طریق Active Directory به شبکه‌ی محلی متصل شده‌اند و از طریق اینترنت یا شبکه‌ی خصوصی   مجازی VPN به خارج از شبکه‌ی محلی دست‌رسی دارند، در خطر بیش‌تری قرار   دارند.»

۴- نسخه‌ی مخربی از پرونده‌ی درخواستی کاربر به سمت قربانی ارسال می‌شود، البته این سناریو نشان می‌دهد مهاجم برای سوء‌استفاده از این آسیب‌پذیری باید به شبکه‌ی محلی کاربر دست‌رسی داشته باشد.

این آسیب‌پذیری مربوط به مولفه‌ی Group Policy از نرم‌افزار Active Directory است، که منجر می‌شود در مرحله‌ی بازیابی سیاست‌های تعریف‌شده نرم‌افزار شکست بخورد و برخی سیاست‌های پیش‌فرض را بارگذاری کند.

هنوز مشخص نشده است که سناریوی حملات علیه شبکه‌هایی که از VPN استفاده می‌کنند چیست، اما به صورت تئوری این مسئله ممکن است. 

گرچه ضعف Group Policy در تمام نسخه های سیستم عامل Windows وجود دارد ولی شرکت مایکروسافت تصیمیم گرفته تا اصلاحیه ای برای نسخه Windows Server 2003 که پشتیبانی آن به زودی به پایان خواهد رسید، منتشر نکند. به گفته مایکروسافت، اصلاح Group Policy در Server 2003 نیازمند تغییرات بسیار اساسی در ساختار سیستم عامل است که در نهایت می تواند منجر به مشکلات عدم سازگاری Windows با نرم افزارهای کاربردی گردد.

نصب دو اصلاحیه MS15-011 و MS15-014 که بخشی از اصلاحیه های امنیتی ماهانه مایکروسافت برای ماه میلادی فوریه هستند که روز سه شنبه ۲۱ بهمن ماه منتشر شده اند، به مدیران شبکه و کاربران توصیه می گردد.

امکان Group Policy در سیستم عامل Windows برای تعریف و مدیریت متمرکز سیستم های Windows، نرم افزارهای کاربردی و تنظیمان کاربران در محیط Active Directory بکار می رود.

Active   Directory یک سرویس مبتنی بر پایگاه داده است که در ویندوز تعبیه شده و   مانند یک محافظ امنیتی، برای کاربران و گروه‌ها، مجوزها و دست‌رسی‌های  لازم  را ایجاد می‌کند و محل دقیق منابع شبکه را در نقشه‌ی شبکه مشخص  می‌کند.

باید توجه داشت این ضعف که بیشتر از یک دهه در Windows وجود داشته و شناسایی نشده بود، برخلاف ضعف های اخیر، نظیر Heartbleed و Shellshock، یک اشکال برنامه نویسی نیست و بلکه یک ایراد اساسی در طراحی اولیه Group Policy بوده است. برای ترمیم این ضعف طراحی، مایکروسافت مجبور به بازنگری اساسی بخش هایی از سیستم عامل شده و ناچاراً امکانات جدیدی را نیز اضافه کرده است.

نفوذگر می توانند با سوء استفاده از این ضعف، بر روی شبکه محلی به روش های مختلف، کامپیوترها را فریب دهد تا تنظیمات جدید و مخرب Group Policy را از یک سرور تحت کنترل نفوذگر پذیرفته و اعمال کنند. با سوء استفاده موفق از ضعف Group Policy می توان بر روی سیستم های آسیب پذیر اقدام به نصب برنامه، تغییر داده ها، ایجاد حساب کاربری جدید کرد. اصلاحیه MS15-011 مانع از این سوء استفاده ها خواهد شد.

برای جلوگیری از دستکاری Domain Controller توسط نفوذگران در زمان دریافت تنظیمات Group Policy توسط یک ایستگاه کاری در شبکه محلی، شرکت مایکروسافت ناچار به افزودن قابلیت جدیدی به نام UNC Hardened Access شده است. این قابلیت توسط اصلاحیه MS15-014 به سیستم عامل Windows افزوده می شود.

هنگامی که این قابلیت جدید فعال می باشد، ضروری است که قبل از دسترسی ایستگاه کاری به منابع UNC، نظیر تنظیمات Group Policy، ایستگاه کاری و سرور همدیگر را تائید (authenticate) کنند. همچنین امکاناتی برای رمزگذاری و تائید اصالت ارتباط سرور و ایستگاه کاری به سیستم عامل افزوده شده است. برای استفاده از این قابلیت و امکانات جدید، مایکروسافت راهنمایی را تهیه و منتشر کرده است.

در سناریوی حمله‌ای که توسط محققان مایکروسافت در وبلاگ این شرکت قرار گرفته برای سوء‌استفاده از این آسیب‌پذیری در یک ماشین که به شبکه‌ی WiFi عمومی متصل است، باید گام‌های زیر را طی کرد:

۱- شنود ترافیک سوییچ و کشف ماشینی که تلاش می‌کند یک پرونده را از آدرس UNC مانند آدرس زیر دریافت کند:

\\۱۰٫۰٫۰٫۱۰۰\Share\Login.bat

۲- در ماشین مهاجم یک مسیر Share ایجاد می‌شود که دقیقاً با درخواست قربانی همانند شده است:

\\*\Share\Login.bat

۳- مهاجم مطمئن می‌شود که درخواست کاربر از ماشین خودش می‌گذرد