AliReza26
Active Member
کرم اينترنتي جديدي به نام W32.Cycle که از آسيب پذيري موجود در سرويس LSASS براي تکثير استفاده مي کند, شناسائي شد.
همچنين خبرها حاکي از ظهور نسل جديد کرم ساسر معروف به W32.Sasser.F مي باشند.
با توجه به اهميت موضوع و اينکه همه اين کرمها از يک آسيب پذيري ستفاده مي کنند به طور خلاصه اين آسيب پذيري » Windows LSASS Remote Buffer Overrun « را بررسي مي کنيم :
گروه امنتي eEye اين آسيب پذيري را در LSA Service کشف کرده است که منجر به Remote Overflow مي شود و به نفوذگر اين امکان رامي دهد که کدهاي خود را از طريق پايپ ارتباطي LSA RPC بر روي پورتهاي 135 و 445 بر روي سيستم قرباني با سطح دسترسي Admin اجرا کند. اين باگ از نقطه ضعف توابع LSASS DCE/RPC که در داخل Microsoft Active Directory مي باشد استفاده مي کند , اين توابع امکان استفاده از Active Directory را بصورت Local و Remote فراهم مي کنند.
اما عاملي که باعث بروز مشکل مي شود به صورت خلاصه بشكل زير است:
تابع مذکور که از سرويس هاي Active Directory مي باشد يک Log File به منظور اشکال زدائي ( Debug ) ايجاد مي کند , اين Log File که" DCPROMO.LOG " نام دارد در دايرکتوري debug از زير شاخه هاي دايرکتوري windows قرار دارد.ابزار Logging به صورت تابعي در داخل LSASRV.DLL فراخواني مي شود, اين تابع از روتين ( ) vsprintf براي ايجاد اقلام ورودي در داخل Log File استفاده مي کند.نکته مهم اينجاست که هيچ محدوديتي براي طول رشته اي که اين تابع استفاده مي کند وجود ندارد , حال اگر يک رشته با طول بزرگ به عنوان پارامتر ورودي براي اين تابع ارسال شود Boffer Overflow رخ مي دهد. به ترتيب نفوذگر با ايجاد يک Overflow بر پايه Stack قادر به گرفتن Shell از سيستم هدف خواهد بود.
به همه عزيزان توصيه مي کنم بسته اصلاحيMS04-011 را حتماُ دريافت و بر روي سيستم خود نصب کنيد.
منبع : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
همچنين خبرها حاکي از ظهور نسل جديد کرم ساسر معروف به W32.Sasser.F مي باشند.
با توجه به اهميت موضوع و اينکه همه اين کرمها از يک آسيب پذيري ستفاده مي کنند به طور خلاصه اين آسيب پذيري » Windows LSASS Remote Buffer Overrun « را بررسي مي کنيم :
گروه امنتي eEye اين آسيب پذيري را در LSA Service کشف کرده است که منجر به Remote Overflow مي شود و به نفوذگر اين امکان رامي دهد که کدهاي خود را از طريق پايپ ارتباطي LSA RPC بر روي پورتهاي 135 و 445 بر روي سيستم قرباني با سطح دسترسي Admin اجرا کند. اين باگ از نقطه ضعف توابع LSASS DCE/RPC که در داخل Microsoft Active Directory مي باشد استفاده مي کند , اين توابع امکان استفاده از Active Directory را بصورت Local و Remote فراهم مي کنند.
اما عاملي که باعث بروز مشکل مي شود به صورت خلاصه بشكل زير است:
تابع مذکور که از سرويس هاي Active Directory مي باشد يک Log File به منظور اشکال زدائي ( Debug ) ايجاد مي کند , اين Log File که" DCPROMO.LOG " نام دارد در دايرکتوري debug از زير شاخه هاي دايرکتوري windows قرار دارد.ابزار Logging به صورت تابعي در داخل LSASRV.DLL فراخواني مي شود, اين تابع از روتين ( ) vsprintf براي ايجاد اقلام ورودي در داخل Log File استفاده مي کند.نکته مهم اينجاست که هيچ محدوديتي براي طول رشته اي که اين تابع استفاده مي کند وجود ندارد , حال اگر يک رشته با طول بزرگ به عنوان پارامتر ورودي براي اين تابع ارسال شود Boffer Overflow رخ مي دهد. به ترتيب نفوذگر با ايجاد يک Overflow بر پايه Stack قادر به گرفتن Shell از سيستم هدف خواهد بود.
به همه عزيزان توصيه مي کنم بسته اصلاحيMS04-011 را حتماُ دريافت و بر روي سيستم خود نصب کنيد.
منبع : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
