X
تبلیغات
پیکوفایل
رایتل

آموزش فناوری دانلود

آشنایی با ویروس ها (16)- کرم اینترنتی W32Cycle


کرم اینترنتی W32.Cycle و آسیب پذیری موجود در سرویس LSASS

کرم اینترنتی جدیدی به نام W32 . cycle که از آسیب پذیری موجود در سرویس LSASS برای تکثیر استفاده می کند, شناسائی شد . همچنین خبرها حاکی از ظهور نسل جدید کرم ساسر معروف به W32 . Sasser . f می باشند .
قبلا از طریق همین سایت در مورد کرم ساسر اطلاعاتی در اختیار شما قرار گرفته است , با توجه به اهمیت موضوع و اینکه همه این کرمها از یک آسیب پذیری ستفاده می کنند به طور خلاصه این آسیب پذیری » Windows LSASS remote Buffer overrun « را بررسی می کنیم :
گروه امنتی eeye این آسیب پذیری را در lsa Service کشف کرده است که منجر به remote OVERFLOW می شود و به نفوذگر این امکان رامی دهد که کدهای خود را از طریق پایپ ارتباطی lsa RPC بر روی پورتهای 135 و 445 بر روی سیستم قربانی با سطح دسترسی admin اجرا کند . این باگ از نقطه ضعف توابع LSASS dce/RPC که در داخل Microsoft active directory می باشد استفاده می کند , این توابع امکان استفاده از active directory را بصورت local و remote فراهم می کنند .
اما عاملی که باعث بروز مشکل می شود به صورت خلاصه بشکل زیر است:
تابع مذکور که از سرویس های active directory می باشد یک log file به منظور اشکال زدائی ( Debug ) ایجاد می کند , این log file که" dcpromo . log " نام دارد در دایرکتوری Debug از زیر شاخه های دایرکتوری Windows قرار دارد . ابزار logging به صورت تابعی در داخل lsasrv . DLL فراخوانی می شود, این تابع از روتین ( ) vsprintf برای ایجاد اقلام ورودی در داخل log file استفاده می کند . نکته مهم اینجاست که هیچ محدودیتی برای طول رشته ای که این تابع استفاده می کند وجود ندارد , حال اگر یک رشته با طول بزرگ به عنوان پارامتر ورودی برای این تابع ارسال شود boffer OVERFLOW رخ می دهد . به ترتیب نفوذگر با ایجاد یک OVERFLOW بر پایه stack قادر به گرفتن Shell از سیستم هدف خواهد بود .
به همه عزیزان توصیه می کنم بسته اصلاحی ms04-011 را حتما دریافت و بر روی سیستم خود نصب کنید .
http://www . Microsoft . com/technet/Security/bulletin/ms011-04.aspx
ادامه دارد ......
نظرات (0)
نام :
ایمیل : [پنهان میماند]
وب/وبلاگ :
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)