به گزارش
گرداب، پژوهشگران امنیتی در هفته گذشته، جزئیاتی درباره یک باگ منتشر کردند که به مهاجمین اجازه میدهد تا از ویندوز سرور بهرهبرداری و از (Windows Deployment Services (WDS سوء استفاده کنند تا سرور را تحت کنترل گیرند و حتی درپشتی قرار دهند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Check Point، این باگ که مایکروسافت آن را در ماه نوامبر گذشته رفع کرد، تمامی نسخههای Windows Servers ۲۰۰۸ SP۲ و بالاتر را تحت تاثیر قرار و همچنین مولفه WDS موجود در این سیستمها را نیز تحت تاثیر قرار میدهد.
مولفه WDS یک ویژگی است که مدیران سیستم از آن برای راهاندازی سیستمعاملهای ویندوز در رایانهها در یک مکان مرکزی که یک سیستمعامل ویندوز سرور که سرویسهای WDS را اجرا میکند، استفاده میشود. در سطح فنی، این کار با اجرای یک Network Boot Program یا (NBP) انجام میشود که پیامهای قبل از بوت را به (PXE (Preboot eXecution Environment ایستگاههای کاری محلی ارسال میکند. این تعاملات بین سرور و ایستگاههای کاری به وسیله TFTP انجام میشود. این پروتکل نسخه قدیمی و ناامن FTP است.
پژوهشگران بیان کردند که هیچ مشکلی در خود پروتکل TFTP وجود ندارد و نقص تنها در پیادهسازی آن توسط این سرویس است. در هنگام آزمایش پیادهسازی این پروتکل در WDS، پژوهشگران متوجه شدند که با ایجاد بستههای مخرب میتوانند کد مخرب در نمونههای ویندوز سرور اجرا کنند. مهاجم با دسترسی محلی میتواند از این طریق کنترل ویندوز سرور را بدست گیرد. از نظر تئوری، در صورتی که سرور بصورت خارجی در معرض دسترسی باشد نیز این حمله انجام پذیر است، اما معمولا سرویس WDS در داخل LAN قابل دسترسی است.
جریان حمله اصلی یک نفوذ از نوع port-in-the-wall است. در این نوع، مهاجم بصورت فیزیکی لپتاپ خود را به یک پورت شبکه در داخل سازمان متصل میکند. این نوع حمله بسیار مرسوم است. درصورتی که مهاجم کنترل ویندوز سرور را بدست گیرد، کنترل کامل کل شبکه را نیز به دست میگیرد و به سادگی میتواند نسخههای ویندوز درپشتی را در سیستمهای محلی قرار دهد.
برای رفع این نقص، بروزرسانیهای امنیتی نوامبر ۲۰۱۸ باید نصب شوند.