آشنایی با ویروس ها (16)- کرم اینترنتی W32Cycle
کرم اینترنتی W32.Cycle و آسیب پذیری موجود در سرویس LSASS
قبلا از طریق همین سایت در مورد کرم ساسر اطلاعاتی در اختیار شما قرار گرفته است , با توجه به اهمیت موضوع و اینکه همه این کرمها از یک آسیب پذیری ستفاده می کنند به طور خلاصه این آسیب پذیری » Windows LSASS remote Buffer overrun « را بررسی می کنیم :
گروه امنتی eeye این آسیب پذیری را در lsa Service کشف کرده است که منجر به remote OVERFLOW می شود و به نفوذگر این امکان رامی دهد که کدهای خود را از طریق پایپ ارتباطی lsa RPC بر روی پورتهای 135 و 445 بر روی سیستم قربانی با سطح دسترسی admin اجرا کند . این باگ از نقطه ضعف توابع LSASS dce/RPC که در داخل Microsoft active directory می باشد استفاده می کند , این توابع امکان استفاده از active directory را بصورت local و remote فراهم می کنند .
اما عاملی که باعث بروز مشکل می شود به صورت خلاصه بشکل زیر است:
تابع مذکور که از سرویس های active directory می باشد یک log file به منظور اشکال زدائی ( Debug ) ایجاد می کند , این log file که" dcpromo . log " نام دارد در دایرکتوری Debug از زیر شاخه های دایرکتوری Windows قرار دارد . ابزار logging به صورت تابعی در داخل lsasrv . DLL فراخوانی می شود, این تابع از روتین ( ) vsprintf برای ایجاد اقلام ورودی در داخل log file استفاده می کند . نکته مهم اینجاست که هیچ محدودیتی برای طول رشته ای که این تابع استفاده می کند وجود ندارد , حال اگر یک رشته با طول بزرگ به عنوان پارامتر ورودی برای این تابع ارسال شود boffer OVERFLOW رخ می دهد . به ترتیب نفوذگر با ایجاد یک OVERFLOW بر پایه stack قادر به گرفتن Shell از سیستم هدف خواهد بود .
به همه عزیزان توصیه می کنم بسته اصلاحی ms04-011 را حتما دریافت و بر روی سیستم خود نصب کنید .
http://www . Microsoft . com/technet/Security/bulletin/ms011-04.aspx
ادامه دارد ......
ارسال مقاله توسط عضو محترم سایت با نام کاربری sm1372
/س
