دسته
آمار وبلاگ
تعداد بازدید : 15391
تعداد نوشته ها : 20
تعداد نظرات : 4
Rss
طراح قالب

                                                              شناسايي 10حفره بزرگ ويندوز

عمده ترين حملات موفقيت آميز هکرها روي سيستم عامل ويندوز تنها از چندين حفره موجود روي برنامه ها انجام مي گيرد. به تعبيري مي توان گفت هکرها فرصت طلب هستند که آسان ترين مسير را انتخاب کرده اند و از روي شکافهاي شناخته شده exploit خود را صورت مي دهد و بعد به طور گسترده اي از برنامه هاي ساخته شده براي به انجام رساندن عمليات خود بهره مي گيرند. معمولا هم به سراغ سايت هاي متعلق به سازمان هاي بزرگ مي روند و ابتدا به ساکن سيستم و شبکه آنها را اسکن مي کنند و باقي قصه را هم که حتما مي دانيد. در اين ميان فهرست کردن حفره ها و برشمردن آنها کار طاقت فرسايي است ؛ اما مي توان گزيده اي از مهمترين آنها را جمع آوري کرد و ضمن بررسي حفره ها به نحوه بستن آنها نيز نگاهي دقيق تر داشت.

از همين رو با هدف امن تر کردن سيستم ها و سرورها سلسله مباحثي در اين شماره و شماره هاي آتي از نظرتان مي گذرد:
1- سرويس
IIS :
برنامه
IIS مايکروسافت (internet information services)از ديرباز عمده ترين حفره ها را در خود جاي داده و بالطبع نيز بيشترين حملات را به سوي خود جلب کرده است.

حفره پذيري
IIS تقريبا در 3کلاس فرعي قابل دسته بندي است : يکي قصور به سوي به کار گرفتن درخواست هاي غيرقابل پيش بيني ، دوم سرريز شدن ضربات از ضربه گير ( bufferoverflow ) و سوم اپليکيشن هاي ساده.


الف : بسياري از حملات روي
IIS براساس اين حفره که مي توان درخواست هاي نافرم HTTP را براي به کار گرفتن درخواست هاي غيرقابل پيش بيني استفاده کرد، صورت مي گيرد. يک مثال خيلي ساده وجود يک حفره در تراورسال دايرکتوري يونيکد بود که براحتي به ويروس codeBlue اجازه نفوذ مي داد. يعني درخواست يا Request به ظاهر قانوني بوده ؛ اما به عنوان يک نيرنگ به صورت exploit از آن سوءاستفاده شده و با آن کنترل رايانه در اختيار حمله کننده مي افتاده است.

پس
IIS اجازه مي دهد تا با حفره اي که حمل مي کند اجازه ارسال درخواست هاي نافرم را از طريق HTTP به هکر بدهد و وي نيز با ارسال اين درخواست به ظاهر قانوني کنترل سيستم را به عهده بگيرد.
ب: سرريز کردن ضربات و پشت سر نهادن ضربه گيرهاي تعريف شده از ديگر حفره هاي موجود در
IIS است که روي الحاقات سيستم مانند پرينتر ، ISAPI و ASP و... خود را نشان مي دهد. مثلا ويروس codeRed از الحاقي idq براي بافر شدن بهره مي گرفت و زمينه حملات Dos روي سيستم را فراهم مي کرد.
ج: اپليکيشن هاي ساده اغلب روي محيطهاي سرور خود را نشان مي دهند و تحمل حملات را نيز ندارند. در اين ميان
Default تعريف شده روي IIS به عنوان اولين راه نفوذ روي سرورها مدنظر هکرها قرار مي گيرد. به عنوان مثال يک اپليکيشن ساده نظير newdsn.exe اجازه مي دهد که هکر حملات از راه دور خود را براي نوشتن مجدد فايل هاي سرور انجام دهد. برخي ديگر از اپليکيشن ها که وظيفه جمع آوري ديتاي حياتي نظير کلمه عبور را دارند نيز مورد سوئاستفاده هکرها قرار مي گيرند و يا مثلا يک فايل ism.dll يا iisadmin اگر به دست هکر بيفتد، مي تواند در نقش راهبر سيستم کل سرور را هک کند. بيشترين سيستم عامل هايي که از طريق IIS مورد حمله قرار گرفته اند NT نسخه 4 است که روي آن IIS4 نصب است.

بعدي سرور 2000است که روي آن
IIS5 نصب است و ديگري نيز ويندوز xp است که روي آن IIS1.5 نصب شده است.

از چه راهي مي توانيم ببينيم
IIS ما حفره پذير شده است؟


دسته ها :
سه شنبه سیم 3 1385
X