کشف آسیبپذیری روز صفر ویندوز 7 و ویندوز سرور 2008
یک محقق امنیتی فرانسوی توانست بهصورت تصادفی، آسیبپذیری روز صفر (Zero-Day) را در سیستمعاملهای Windows 7 و Windows Server 2008 R2 کشف کند. او موفق شد این مشکل امنیتی را هنگام کار روی بهروزرسانی ابزار امنیتی ویندوز پیدا کند. این آسیبپذیری در دو کلید رجیستری با پیکربندی اشتباه برای سرویسهای RPC Endpoint Mapper و DNSCache که بخشی از تمام نصبهای ویندوز است، وجود دارد:
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
کلمان لابرو، محقق فرانسوی که موفق به کشف حفره امنیتی روز صفر شد، میگوید مهاجم میتواند با تغییر کلیدهای رجیستری، یک کلید فرعی را که معمولا در مکانیسم نظارت بر عملکرد ویندوز استفاده میشود، فعال کند. معمولا کلیدهای فرعی (Performance) برای نظارت روی عملکرد یک برنامه استفاده میشوند و بهعلت نقش آنها، این اجازه را به توسعهدهندگان میدهند که برای ردیابی عملکرد با استفاده از ابزارهای سفارشی، پروندههای DLL خود را بارگیری کنند. در نسخههای اخیر ویندوز، پروندههای DLL ذکرشده محدود هستند و با امتیازهای محدود بارگیری میشوند؛ اما لابرو اظهار داشت که در ویندوز ۷ و ویندوز سرور ۲۰۰۸، کماکان بارگیری DLL سفارشی با امتیازهای سطح سیستم (SYSTEM) امکانپذیر است.
روز صفر (Zero-Day) بهصورت اتفاقی کشف شد
بیشتر محققان امنیتی، موارد کشفشده را بهصورت خصوصی به مایکروسافت اطلاع میدهند؛ اما حالا که این مورد و شکاف امنیتی کشف شده، واقعا میتوان گفت بسیار دیر شده است. لابرو روز صفر را پس از انتشار بهروزرسانی PrivascCheck کشف کرده است؛ ابزاری که میتواند نادرست بودن تنظیمات امنیتی ویندوز قابل سوء استفاده توسط بدافزارها را تشخیص دهد. این بهروزرسانی که ماه گذشته منتشر شد توانست سطح دسترسی برای هک را هم اضافه کند.
لابرو میگوید فکر نمیکرد فایل آپدیت جدید، بتواند نقاط ضعف را برجسته کند؛ اما زمانیکه تصمیم گرفت یک سری هشدار مربوط به ویندوز ۷ را مورد بررسی قرار دهد، توانست روز صفر را کشف کند. در آن زمان برای اطلاعرسانی خصوصی به مایکروسافت بسیار دیر شده بود و او تصمیم گرفت این مورد را در وبلاگ منتشر کند و شرح دهد. در ادامه ZDNet برای شنیدن پاسخ مایکروسافت، سعی در برقراری ارتباط کرد؛ اما سازنده سیستمعامل در واکنش به این موضوع، هنوز بیانیه رسمی ارائه نکرده است. ویندوز ۷ و ویندوز سرور ۲۰۰۸ به پایان عمر خود رسیدند و دیگر مایکروسافت برای آنها بهروزرسانی امنیتی منتشر نمیکند. البته برخی از بهروزرسانیهای امنیتی ازطریق برنامه پشتیبانی پرداختشده ESU برای کاربران ویندوز ۷ منتشر میشود؛ اما هنوز پچ جدیدی برای رفع مشکل دردسترس قرار نگرفته است. هنوز مشخص نیست آیا مایکروسافت قصد دارد مشکل روز صفر را از بین ببرد. بااینحال ACROS Security یک میکروپچ تهیه کرده است.این میکروپچ توسط نرمافزار امنیتی 0patch نصب و مانع خرابکاریهای احتمالی میشود.