کرم اينترنتي W32.Cycle و آسيب پذيري موجود در سرويس LSASS

کرم اينترنتي جديدي به نام W32 . cycle که از آسيب پذيري موجود در سرويس LSASS براي تکثير استفاده مي کند, شناسائي شد . همچنين خبرها حاکي از ظهور نسل جديد کرم ساسر معروف به W32 . Sasser . f مي باشند .
قبلا از طريق همين سايت در مورد کرم ساسر اطلاعاتي در اختيار شما قرار گرفته است , با توجه به اهميت موضوع و اينکه همه اين کرمها از يک آسيب پذيري ستفاده مي کنند به طور خلاصه اين آسيب پذيري » Windows LSASS remote Buffer overrun « را بررسي مي کنيم :
گروه امنتي eeye اين آسيب پذيري را در lsa Service کشف کرده است که منجر به remote OVERFLOW مي شود و به نفوذگر اين امکان رامي دهد که کدهاي خود را از طريق پايپ ارتباطي lsa RPC بر روي پورتهاي 135 و 445 بر روي سيستم قرباني با سطح دسترسي admin اجرا کند . اين باگ از نقطه ضعف توابع LSASS dce/RPC که در داخل Microsoft active directory مي باشد استفاده مي کند , اين توابع امکان استفاده از active directory را بصورت local و remote فراهم مي کنند .
اما عاملي که باعث بروز مشکل مي شود به صورت خلاصه بشکل زير است:
تابع مذکور که از سرويس هاي active directory مي باشد يک log file به منظور اشکال زدائي ( Debug ) ايجاد مي کند , اين log file که" dcpromo . log " نام دارد در دايرکتوري Debug از زير شاخه هاي دايرکتوري Windows قرار دارد . ابزار logging به صورت تابعي در داخل lsasrv . DLL فراخواني مي شود, اين تابع از روتين ( ) vsprintf براي ايجاد اقلام ورودي در داخل log file استفاده مي کند . نکته مهم اينجاست که هيچ محدوديتي براي طول رشته اي که اين تابع استفاده مي کند وجود ندارد , حال اگر يک رشته با طول بزرگ به عنوان پارامتر ورودي براي اين تابع ارسال شود boffer OVERFLOW رخ مي دهد . به ترتيب نفوذگر با ايجاد يک OVERFLOW بر پايه stack قادر به گرفتن Shell از سيستم هدف خواهد بود .
به همه عزيزان توصيه مي کنم بسته اصلاحي ms04-011 را حتما دريافت و بر روي سيستم خود نصب کنيد .
http://www . Microsoft . com/technet/Security/bulletin/ms011-04.aspx
ادامه دارد ......
ارسال مقاله توسط عضو محترم سايت با نام کاربري sm1372
/س