اطلاعیه - ممیزی و ارزیابی امنیتی

مرکز تخصصی آپا دانشگاه صنعتی اصفهان با توجه به حساسیت موضوع نحوه بارگیری فایل‌های DLL در سیستم عامل ویندوز و خطرات بالقوه آن، تیم ویژه‌ای را در مرکز مسئول رسیدگی به این آسیب‌پذیری نموده است.
سازمان‌های متقاضی می‌توانند برای بررسی تخصصی وضعیت نرم‌افزارهای مورد استفاده خود نسبت به این آسیب‌پذیری با مرکز تماس حاصل نمایند.
کشف چندین آسیب‌پذیری نحوه بارگیری فایل‌های DLL توسط مرکز تخصصی آپا دانشگاه صنعتی اصفهان

مرکز تخصصی آپا دانشگاه صنعتی اصفهان بر حسب وظیفه خود در خصوص کشف و گزارش آسیب‌پذیری‌ها، همواره در حال پویش، جستجو و بررسی نرم‌افزارهای مختلف جهت یافتن آسیب‌پذیری در آن‌هاست. پس از انتشار مطالب مرتبط با آسیب‌پذیری نحوه بارگیری فایل‌های DLL، تیم تحلیل آسیب‌پذیری این مرکز اقدام به پویش نرم‌افزارهای مختلف تولید داخل و خارج نموده و در صورت یافتن آسیب‌پذیری، مکاتبات لازم را انجام داده و طبق رویه‌های بین‌المللی نسبت به انتشار آن‌ها اقدام می‌کند. بر این اساس تا کنون آسیب‌پذیری فوق در محصولات زیر توسط این مرکز کشف شده است:

نام محصول
شرکت تولید کننده
Video Converter Ultimate 6
Xilisoft
TuneUp Utilities 2009
TuneUp
TuneUp Utilities 2010
TuneUp
LINGO 11
Lindo Systems
LINGO 12
Lindo Systems
Accounting Pro 2003
کاوا رایانه
Brilliant Accounting System 59
برلیان
حسابداری هلو
طرفه نگار
حسابداری رافع
مفتاح رایانه
Sahar Money Manager
پارسه رایانه سحر
Photo Manager
ACDSee
Orbit Downloader
Innoshock
WinMerge
WinMerge Development Team
Nessus Client
Tenable Network Security
Internet Download Manager
Tonec
FlipAlbum Vista Pro
E-Book Systems
PSI
Secunia
GetRight Pro
Headlight Software
Flash Gallery Factory
Wondershare
Wondershare DVD Slideshow Builder
Wondershare
AutoPlay Media Studio
Indigo Rose
ProShow Producer
Photodex
Canvas
ACDSee
Acoustica
Acon Digital Media
FL Studio
Image-Line
AOL Instant Messenger
AOL
Google Desktop
Google

با توجه به سطح بالای خطر آسیب‌پذیری، به تولیدکنندگان داخلی محصولات فوق اکیداً توصیه می‌شود که سریعاً نسبت به رفع آسیب‌پذیری اقدام نمایند. 

(89/6/8)راه حل‌های جانبی مقابله با آسیب‌پذیری نحوه بارگیری فایل‌های DLL
با استفاده از پیکربندی‌هایی که در ادامه بدان اشاره می‌شود، می‌توان تا زمان ارائه یک راه حل اساسی توسط شرکت‌های سازنده نرم‌افزارهای آسیب‌پذیر، جلوی سوءاستفاده از آسیب‌پذیری نحوه بارگیری فایل‌های DLL را گرفت. 

غیرفعال‌سازی بارگیری فایل‌های کتابخانه‌ای از مسیر WebDAV و سایر مکان‌های به اشتراک گذاشته شده در شبکه:شرکت مایکروسافت ابزاری منتشر کرده است که با استفاده از آن می‌توان قابلیت بارگیری فایل‌های کتابخانه‌ای از مسیر WebDAV و سایر مکان‌های به اشتراک گذاشته شده در شبکه را غیرفعال کرد. راهبران شبکه توسط این ابزار می‌توانند در نحوه بارگیری فایل‌های کتابخانه‌ای در کل سیستم یا فقط برای یک برنامه خاص تغییر به‌وجود آورند. درنتیجه احتمال سوء‌استفاده از آسیب پذیری کاهش خواهد یافت. برای دریافت این ابزار و همچنین اطلاع یافتن از نحوه عملکرد آن می‌توانید به آدرس http://support.microsoft.com/kb/2264107 مراجعه فرمائید. به راهبران شبکه اکیداً توصیه می‌شود که با توجه به لیست برنامه‌های آسیب‌پذیری که توسط این مرکز تهیه شده است، اقدام به تغییر نحوه بارگیری فایل‌های کتابخانه‌ای برای این برنامه‌ها نمایند. 

غیرفعال‌سازی سرویس WebClient:پس از غیرفعال‌سازی سرویس، امکان سوء‌استفاده از این طریق به‌طور کامل منتفی نشده و هنوز می‌توان مثلاً نرم‌افزار Microsoft Office Outlook را وادار به اجرای برنامه‌ای در خود سیستم فرد قربانی یا در شبکه LAN وی نمود. با این‌حال غیرفعال‌سازی این سرویس باعث می‌شود که قبل از اجرای برنامه از طریق اینترنت، از کاربر تائیدیه گرفته شود. برای غیرفعال‌سازی سرویس بایستی مراحل زیر را به‌ترتیب اجرا نمود:
  • اجرای برنامه Start/Run/Services.msc
  • انتخاب سرویس WebClient و مشاهده گزینه Properties آن
  • تغییر وضعیت Startup Type به حالت Disable (اگر سرویس در حال اجرا می‌باشد، ابتدا بایستی آن را Stop نمود).
  • تائید تغییرات و خارج شدن از برنامه فوق

اعمال تغییرات فوق باعث می‌شود که درخواست‌های WebDAV ارسال نشوند. به‌علاوه تمامی سرویس‌هایی که به آن وابسته هستند نیز غیرفعال می‌شوند و پیغام‌های خطای آن در فایل log سیستم ثبت می‌شوند. برای فعال‌سازی مجدد سرویس WebClient بایستی مراحل زیر به‌ترتیب انجام گیرند:
  • اجرای برنامه Start/Run/Services.msc
  • انتخاب سرویس WebClient و مشاهده گزینه Properties آن
  • تغییر وضعیت Startup Type به حالت Automatic (اگر سرویس متوقف می‌باشد، بایستی آن را Start نمود).
  • تائید تغییرات و خارج شدن از برنامه فوق

مسدود نمودن پورت‌های TCP با شماره‌های 139 و 445 در دیواره آتش:با مسدود نمودن این دو پورت جلوی سوء‌استفاده از این آسیب‌پذیری گرفته می‌شود ولی در عوض ممکن است در عملکرد بسیاری از سرویس‌ها یا برنامه‌های کاربردی ویندوز اختلال به‌وجود آید. برخی از این سرویس‌ها و برنامه‌ها عبارتند از:

  • Server - File and Print Sharing
  • Group Policy
  • Net Logon
  • Distributed File System - DFS
  • Terminal Server Licensing
  • Print Spooler
  • Computer Browser
  • Remote Procedure Call Locator
  • Fax Service
  • Indexing Service
  • Performance Logs and Alerts
  • Systems Management Server
  • License Logging Service
در کنار راه حل‌های جانبی فوق، این مرکز توصیه می‌نماید که روش‌های زیر نیز مورد توجه قرار گیرند:

استمرار استفاده از روش‌های محافظت عمومی از رایانه:به‌عنوان یک راه حل همیشگی، بایستی راهبران شبکه با استفاده مناسب از دیواره‌آتش، نرم‌افزار و سخت‌افزار آنتی‌ویروس، به‌روزسانی ویندوز و سایر نرم‌افزارها و ... از شبکه خود محافظت نمایند.

به‌روزرسانی نرم‌افزارهای آسیب‌پذیر:همان‌گونه که قبلاً اشاره شد، لیست کامل نرم‌افزار‌های آسیب‌پذیر نسبت به نحوه بارگیری فایل‌های DLL توسط این مرکز جمع‌آوری و اعلام شده است. این لیست به‌طور روزانه به‌روزرسانی خواهد شد. لازم است راهبران شبکه با توجه به نرم‌افزارهای نصب شده در شبکه خود، اقدامات لازم را جهت به‌روزرسانی این نرم‌افزارها به‌عمل آورند. البته با توجه به تنوع نرم‌افزارهای موجود در لیست، به‌نظر می‌رسد که رفع کامل این آسیب‌پذیری در تمامی نرم‌افزارهای اشاره شده ماه‌ها طول بکشد. اما از آن‌جایی‌که در لیست مورد اشاره تعداد بسیار زیادی از نرم‌افزارهای پرکاربرد مورد استفاده در سطح کشور مشاهده می‌شود، بایستی راه حل‌های جانبی مورد اشاره نیز مد نظر قرار گیرند.


(89/6/7) آشنایی بیشتر با آسیب‌پذیری نحوه بارگیری فایل‌های DLL
متخصصان امنیت شبکه بر این باورند که پس از انتشار کد سوء‌استفاده از نحوه بارگیری فایل‌های DLL در سیستم عامل ویندوز که صدها برنامه کاربردی را در معرض خطر قرار خواهد داد، به‌زودی سیل عظیمی از عملیات خرابکارانه صورت خواهد گرفت. این کد سوء‌استفاده در روز دوشنبه یکم شهریور ماه 1389 منتشر شده است.
با استفاده از این آسیب‌پذیری می‌توان به راحتی از بسیاری از برنامه‌های قابل اجرا در سیستم عامل ویندوز سوء‌استفاده نمود. برای انجام این کار بایستی کاربران را فریب داد و آن‌ها را به بازدید از وب سایت‌های آلوده یا باز نمودن مستندات مجعول ترغیب نمود.
این آسیب‌پذیری ناشی از نحوه بارگیری فایل‌های DLL، exe و com در سیستم عامل ویندوز است. درصورتی‌که فرد خرابکار بتواند کد بدافزار خود را در قالب یک فایل کتابخانه‌ای به نحو مناسب در یکی از شاخه‌هایی قرار دهد که نرم‌افزار آسیب‌پذیر در آن به دنبال فایلی از جنس‌های ذکر شده می‌گردد، به‌راحتی می‌تواند کد بدافزار خود را بر روی سیستم قربانی اجرا نماید.
شرکت مایکروسافت بر این باور است که این آسیب‌پذیری مربوط به ویندوز نبوده و برنامه‌های آسیب‌پذیر بایستی خود اقدام به رفع این مشکل در نرم‌افزار خود کنند. دلیل این امر آن است که در صورت تغییر دادن نحوه کارکرد توابع Loadlibrary و SetDllDirectory، بسیاری از برنامه‌ها مشکل پیدا خواهند نمود. با این حال می‌توان با استفاده از روش‌های جانبی و موقت، مانع از سوء‌استفاده از این آسیب‌پذیری شد. جلوگیری از بارگیری فایل‌های DLL از بخش‌های به اشتراک گذاشته شده شبکه و WebDAV، یکی از چنین راه حل‌های جانبی است.
(89/6/6) آشنایی با آسیب‌پذیری نحوه بارگیری فایل‌های DLL
در طی هفته گذشته، گزارش‌های زیادی در خصوص سوء‌استفاده از یک آسیب‌پذیری موجود در کلیه نسخه‌های سیستم عامل ویندوز منتشر شده است. حملاتی که برای سوء‌استفاده از این آسیب‌پذیری طراحی شده‌اند، از نحوه نامناسب بارگیری فایل‌‌های کتابخانه‌ای بهره می‌گیرند. در این روش فرد نفوذگر می‌تواند با سوء‌استفاده از آسیب‌پذیری فوق، کُد مورد نظرش را بر روی رایانه هدف اجرا کند. بسیاری از برنامه‎هایی که بر روی سیستم عامل ویندوز اجرا می‌شوند، از کُدها و توابع موجود در فایل‌های DLL کمک می‌گیرند. در هنگام فراخوانی توابع مورد نظر، ویندوز جهت یافتن فایل DLL مورد نظر به جستجو می‌پردازد. در صورتی که نفوذگر بتواند به روش مناسب DLL مورد نظر خود را که حاوی کُدبدافزار است به نرم‌افزار معرفی کند، موفق خواهد شد کنترل رایانه فرد قربانی را به‌دست گیرد. نکته‌ای که در مورد این گروه از آسیب‌پذیری‌ها وجود دارد، تنوع نرم‌افزارهای اجرایی بر روی سیستم عامل ویندوز است که از این روش استفاده نموده و درنتیجه هر کدام از آن‌ها ممکن است مورد سوء‌استفاده قرار گیرند. از این رو کاربران بایستی به دو نکته اساسی توجه کنند. اول آنکه حتی‌الامکان از باز کردن فایل‌ها از منابع ناشناس پرهیز کنند و دوم آن‌که نسبت به به‌روزرسانی تمامی نرم‌افزارهای نصب شده بر روی سیستم عامل ویندوز خود به طور جداگانه اقدام کنند.
لیستی از نرم‌افزارهایی که تا به حال آسیب‌پذیری‌شان مُحرز شده ‌است، توسط این مرکز تهیه شده و در ادامه جهت آگاهی آورده شده است. مجدداً بر خطرناک بودن این گروه از آسیب‌پذیری‌ها تاکیده شده و از کاربران سیستم عامل ویندوز دعوت می‌شود جهت جلوگیری از حملات احتمالی، نهایت دقت را نمایند. دریافت فایل لیست نرم‌افزارها