کرم جديدي که W32.Blaster نا ميده مي شود طي روزهاي اخير بشدت گسترش و توانسته است تعدادي بسيار زيا دي از کامپيوترها را آ لوده نمايد . کرم فوق، داراي اسامي ديگري نظير : W32/Lovsan.worm ، WORM_MSBLAT.A و Win32.Posa.Worms مي باشد.
تاريخ کشف : يازدهم اگوست 2003 . کامپيوترهائي که قبلا" از Patch امنيتي MS03-026 استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت .
نحوه توزيع : توزيع کرم فوق، از طريق پورت هاي باز RPC انجام مي شود . سيستم ها پس از آلودگي به ويروس فوق، راه اندازي مجدد شده و يا فايل msblase.exe بر روي آنان وجود خواهد داشت .
جرئيات فني : RPC)Remote Procedure Call) ، پروتکلي است که توسط سيستم عامل ويندوز استفاده مي گردد . RPC ، يک مکانيزم ارتباطي را ارائه و اين امکان را فراهم مي نمايد که برنامه در حال اجراء بر روي يک کامپيوتر قادر به اجراء کد موجود بر روي يک سيستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مايکروسافت امکانات اضافه اي را به آن اضافه نموده است . در بخشي از پروتکل فوق يک نقطه آسيب پذير وجود داشته که در ارتباط با پيام هاي مبادله شده بر روي TCP/IP است . مشکل بوجود آمده ناشي از عدم بررسي ( برخورد ) مناسب پيام هاي ناقص است . اين ضعف امنيتي باعث تاثيرگذاري يک اينترفيس DCOM)Distributed Component Object Model) با RPC مي گردد( گوش دادن به پورت هاي فعا ل RPC ). ايترفيس فوق ، باعث بررسي درخواست هاي فعال شي DCOM ارسال شده توسط ماشين سرويس گيرنده براي سرويس دهنده مي گردد . يک مهاجم که امکان استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهاي محلي سيستم بر روي يک سيستم آسيب پذير ، خواهد بود. در چنين حالتي مهاجم ، قادر به انجام هر نوع عملياتي بر روي سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account هاي جديد بهمراه تمامي مجوزهاي مربوطه ، نمونه هائي در اين رابطه مي باشد .بمنظور استفاده از ضعف موجود، يک مهاجم درخواستي خاص بر روي کامپيوتر از راه دور و از طريق پورت هاي مشخص شده RPC را ارسال مي نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفي يک دامنه از آدرس هاي IP را پويش ( بررسي ) تا سيستم مورد نظر خود را براي آسيب رساني از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده مي نمايد . ( اشاره شده در patch شماره MS03-026 ) . زمانيکه کد مربوطه براي سيستمي ارسال گرديد در ادامه اقدام به download و اجراي فايل MSBLATE.EXE از يک سيستم راه دور و از طريق HTTP مي نمايد . پس از اجراء ، کليد ريجستري زير ايجاد خواهد شد :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
علائم آلودگي سيستم : برخي از کاربران ممکن است هيچگونه علائمي مبني بر آلودگي سيستم خود را مشاهده ننمايند . در رابطه با کاربراني که از سيستم ويندوز XP و يا Server 2003 استفاده مي نمايند ، سيستم پس از لحظاتي و بدون اينکه کاربر عمليات خاصي را انجام دهد، راه اندازي مجدد مي گردد . در رابطه با کاربراني که از ويندوز NT 4.0 و يا ويندوز 2000 ، استفاده مي نمايند ، سيستم رفتاري غيرپاسخگو را خواهد داشت ( عدم واکنش صحيح در رابطه با برخي از رويداد ها و ارائه خدمات طبيعي ) . کاربران در اين رابطه ممکن است موارد زير را نيز مشاهده نمايند :
• وجود فايل هاي غيرمتعارف TFTP
• وجود فايل msblast.exe در دايرکتوري Windows System32
سيستم هاي آسيب پذير : کاربراني که داراي يکي از سيستم هاي زير مي باشند ، در معرض آلودگي خواهند بود :
• ويندوز NT 4.0
• ويندوز 2000
• ويندوز XP
• ويندوز 2003
سيستم هاي مصون : در صورتيکه وجود شرايط زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
• در صورتيکه از ويندوز 95 ، 98 ، SE و يا ME استفاده مي گردد .
• در صورتيکه patch امنيتي اشاره شده در MS03-026 بر روي سيستم نصب شده باشد .
Patch هاي موجود : براي دريافت patch مربوطه مي توان از آدرس هاي زير استفاده کرد :
• Windows NT 4.0
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP 32 bit Edition
• Windows XP 64 bit Edition
• Windows Server 2003 32 bit Edition
• Windows Server 2003 64 bit Edition

سوالات متداول در رابطه با کرم بلستر :

علت وجود ضعف موجود چيست ؟ اشکال فوق، مربوط به يک Buffer overrun است ( بافري که بررسي هاي لازم در ارتباط با آن انجام نشده است ) . مهاجمي که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، مي تواند کنترل کامل سيستم را از طريق يک کامپيوتر از راه دور در اختيار و عمليات دلخواه خود را بدون هيچگونه محدوديتي انجام دهد.علت بروز چنين مسئله اي به سرويس RPC ويندوز برمي گردد که بصورت مناسب وضعيت پيام هاي ورودي را تحت شرايط خاص ، بررسي نمي نمايد .
DCOM چيست ؟ پروتکلي است که امکا ن ارتباط مستقيم بين عناصر نرم افزاري موجود در يک شبکه با يکديگر را فراهم مي نمايد.پروتکل فوق، قبلا" OLE Network ناميده مي شد.
RPC چيست ؟ پروتکلي است که يک برنامه مي تواند با استفاده از آن درخواست سرويسي را از برنامه موجود بر روي کامپيوتر ديگر در شبکه داشته باشد . RPC ، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم مي نمايد . برنامه هائي که از RPC استفاده مي نمايند ضرورتي به آگاهي از پروتکل هاي شبکه که ارتباطات را حمايت مي نمايند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس دهنده مي باشد .
سرويس هاي اينترنت COM و RPC بر روي HTTP چه چيزي مي باشند ؟ سرويس هاي اينترنت COM معرفي شده، پروتکل حمل DCOM را در ارتباط با TCP ارائه و اين امکان را فراهم مي نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل TCP انجام دهد . سرويس هاي اينترنت COM و RPC بر روي HTTP ، اين امکان را براي يک سرويس گيرنده و سرويس دهنده فراهم مي نمايند که قادر به برقراري ارتباط با يکديگر در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسي و يا فايروال باشند .
با استفاده از چه روشي مي توان از نصب سرويس هاي اينترنت COM بر روي سيستم ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو براي يافتن فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ، نشاندهنده نصب سرويس هاي اينترنت COM بر روي ماشين است .
اشتباه مايکروسافت در رابطه با پياده سازي RPC چيست ؟ در بخشي از RPC شکافي وجود داشته که در ارتباط با پيام هاي مبادله شده از طريق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پيام هاي ناقص است . مشکل فوق، باعث تاثيرات خاصي در ارتباط با اينترفيس DCOM شده و زمينه گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم مي گردد . امکان دستيابي از طريق پورت هاي 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC ، يک مهاجم مي تواند باعث بروز اشکال در سرويس دهي توسط سرويس RPC بر روي يک ماشين گردد .
يک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملياتي خواهد بود ؟ مهاجمي که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، مي تواند کدهائي را با مجوزهاي سيستم محلي بر روي يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتي بر روي سيستم نظير : نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account هاي جديد با مجوزها و اختيارات کامل، خواهد بود.
يک مهاجم به چه صورت از ضعف فوق ، استفاده مي نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص امنيتي مي تواند با برنامه ريزي يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب پذير از طريق RPC باشد ، ارتباطي را برقرار و در ادامه يک نوع پيام خاص RPC ناقص را ارسال نمايد . دريافت چنين پيامي باعث بروز اشکال در ماشين آسيب پذير شده و بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم خواهد بود .
چه کساني در معرض اين آسيب هستند ؟ هر کاربري که قادر به عرضه يک درخواست TCP بر روي يک اينترفيس RPC بر روي يک کامپيوترآسيب پذير باشد ، مي تواند در معرض آسيب فوق باشد . با توجه به اينکه درخواست هاي RPC بصورت پيش فرض بر روي تمامي نسخه هاي ويندوز فعال ( on) مي باشند ، هر کاربري که قادر به برقراري ارتباط با يک کامپيوترآسيب پذير باشد ، مي تواند در معرض اين آسيب قرار گيرد .