مهمترین نقاط آسیب پذیر ویندوز ( بخش چهارم )

ششمین  نقطه آسیب پذیر :  ( Microsoft Data Access Components (MDAC 
MDAC ، شامل مجموعه ای از تکنولوژی های مرتبط با بانک اطلاعاتی است که در تعدادی از نسخه های اخیر ویندوز، بکارگرفته شده است . مهاجمان با استفاده از نقاط آسیب پذیر MDAC ، تاکنون حملات متعددی را  در این رابطه سازماندهی و توانسته اند از سیستم های آسیب پذیر در جهت اهداف خود ( اجراء کد و دستورات مخرب )  استفاده نمایند . حملات فوق ، می تواند دلایل متعددی داشته باشد ولی می توان به دو عامل اصلی در این زمینه اشاره نمود : استفاده از رویکردهای قدیمی ( نظیر RDS  )  و وجود مسائل جدید در محصولات ارائه شده که یک مهاجم را قادر می سازد با ایجاد یک buffer overflow ، تمامی سیستم را بمخاطره اندازد .
RDS که از کلمات Remote Data Services اقتباس شده است ، نسخه قدیمی MDAC بوده و دارای یک ضعف امنیتی است که کاربران از راه دور را قادر می سازد ، دستوراتی را بصورت محلی بهمراه مجوزها و امتیازات مدیریتی، اجراء نمایند.با ترکیب ضعف فوق بهمراه ضعف امنیتی موجود در Microsoft Jet Database Engine 3.5 ( بخشی از MS Access  ) ، آسیب پذیری سیستم افزایش و زمینه تهدیدات متعددی فراهم می گردد( دستیابی به بانک های اطلاعاتی ) .ضعف ها و مشکلات فوق ، بطور کامل شناخته شده و بیش از سه سال است که مستندات لازم بمنظور مقابله با آنان تهیه و ارائه شده است . وجود سیستم های قدیمی که هنوز خود را با آخرین وضعیت موجود بهنگام نکرده و یا عدم پیکربندی مناسب سیستم ها ، از دلایل اصلی آسیب پذیری سیستم ها ی موجود می باشد  .   
 مهاجمان تاکنون با استفاده از ضعف فوق ،حملات متنوعی را سازماندهی و به سرانجام رسانده اند . یکی ازحملات اخیر در این رابطه ،  بدلیل Buffer Overflow در MDAC بوده که در بولتن ( خبرنامه )  امنیتی شماره MS03-033 مایکروسافت   به آن  اشاره شده است . نسخه MDAC  در ویندوز 2003 ، دارای این نقطه آسیب پذیر نمی باشد . 

سیستم های عامل در معرض تهدید
اکثر سیستم های ویندوز NT 4.0 که بر روی آنان نسخه های  سه  و یا چهار برنامه IIS ، ویژوال استودیو شش  و یا  RDS 1.5  ، نصب شده باشد ، دارای  ضعف امنیتی فوق می باشند. ویندوز 2000 و XP همانند سیستم هائی که بر روی آنان آفیس 2000 ( بهمراه SP1 ) ، نسخه SQL Server 7  ( که بر روی آنان SP2 و به بعد نصب شده است ) ، SQL Server 2000  از MDAC  استفاده می نمایند . همانگونه که مشاهده می شود، اکثر نسخه های ویندوز دارای نقطه آسیب پذیر فوق می باشند .    

نحوه تشخیص آسیب پذیر ی سیستم
درصورتیکه بر روی کامپیوتری  ویندوز NT 4.0  بهمراه  IIS نسخه سه ویا چهار نصب شده باشد ، می بایست بررسی لازم  در خصوص وجود فایل "msadcs.dll" انجام شود( فایل فوق،عموما" در آدرس    C:Program FilesCommon FilesSystemMsadcmsadcs.dll ، قرار دارد، آدرس فوق ممکن است با توجه به پیکربندی سیستم متفاوت باشد). در صورتیکه  سیستم مورد نظر شامل فایل فوق باشد ، بهنگام سازی و یا Patching سیستم ، منطقی ترین کاری است که می توان انجام داد.در صورت وجود نرم افزارهای قدیمی و سیستم های عامل اشا ره شده، سیستم در معرض تهدید و آسیب قرار خواهد داشت. بمنظور آگاهی از جزیئات لازم در خصوص نقاط آسیب پذیر اخیر MDAC  می توان از  بولتن امنیتی شماره MS03-033مایکروسافت  استفاده نمود . در ایـن رابطه می توان از  Windows Update   نیز بمنظور تشخیص آسیب پذیری سیستم ، استفاده نمود. امکان فوق ، بررسی لازم در خصوص نرم افزارهای نصب شده بر روی ماشین را انجام و متناسب با شرایط موجود اقدام به بهنگام سازی نرم افزارها خواهد نمود.

نحوه حفاظت در مقابل نقطه آسیب پذیر
در رابطه با ضعف های RDS ، Jet  و نحوه تصحیح و مقابله با آنان می توان از آدرس http://www.wiretrip.net/rfp/txt/rfp9907.txt  استفاده نمود. مایکروسافت نیز در این رابطه چندین بولتن ( خبرنامه ) امنیتی را منشتر که در آنان نحوه برخورد وحفاظت در مقابل این نقطه آسیب پذیر نشریح شده است .

http://support.microsoft.com/support/kb/articles/q184/3/75.asp 
http://www.microsoft.com/technet/security/bulletin/ms98-004.asp 
http://www.microsoft.com/technet/security/bulletin/ms99-025.asp 
http://www.microsoft.com/security/security_bulletins/ms03-033.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-033.asp 
http://support.microsoft.com/default.aspx?scid=kb;en-us;823718 

 بمنظور برخورد با ضعف امنیتی فوق ، می توان MDAC موجود را به نسخه MDAC ver 2.8 ، ارتقاء داد . آخرین نسخه MDAC و سایر عناصر مرتبط با بانک های اطلاعاتی را میتوان از طریق آدرس http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp  مشاهده و دریافت نمود. در ایـن رابطه می توان  از  Windows Update     نیز استفاده نمود.

هفتمین  نقطه آسیب پذیر :  (Windows Scripting Host (WSH
WSH ، تکنولوژی ارائه شده توسط مایکروسافت بمنظور افزایش عملکرد  وتوانائی های ویندوز می باشد .تکنولوژی فوق ، از جاوا اسکریپت و VBScript حمایت و اولین مرتبه بهمراه IEنسخه پنج ارائه ودرادامه بعنوان یک استاندارد بهمراه سایر نسخه های سیستم عامل ویندوز ارائه گردید( آغاز آن با ویندوز 98 همراه بوده است ) . تکنولوژی WSH ،  امکان دستیابی به پوسته ویندوز ، سیستم فایل ، ریجستری و سایر موارد دیگر را با استفاده از کدهای ساده اسکریپت فراهم می نماید( پتانسیل های فوق در جهت اتوماسیون عملیات ویندوز ارائه شده است ) . اسکریپت ها می توانند مستقیما" از طریق Desktop و با کلیک نمودن بر روی یک فایل اسکریپت و یا از طریق یک برنامه اجراء گردند ( نظیر یک برنامه سرویس گیرنده پست الکترونیکی ) .
ویژگی اجراء اتوماتیکWSH ، عامل اصلی عرضه و انتشار کرم  ILOVEYOU ( کد نوشته شده توسط VBScript ) در سالیان گذشته بوده که  باعث میلیونها دلار خسارت گردید.کرم فوق و سایر کرم هائی که پس از آن مطرح گردیدند ، بمنظور نیل به اهداف مخرب خود  از مزایای WSH  استفاده  نموده اند . بدین ترتیب ، امکان اجرای هر نوع  فایل متنی با  انشعاب  vbs,.vbe, .js, .jse . وwsf . ،بعنوان یک اسکریپت ویژوال بیسیک و یا Jscript  با مجوزهای سطح سیستم و یا برنامه  ، فراهم می گردد .

سیستم های عامل در معرض تهدید
WSH ، می تواند بصورت دستی و یا از طریق   IE( نسخه پنج به بعد )  ،  بر روی ویندوز NT و 95 نصب گردد .درویندوز ME , 98 , 98SE , 2000 , XP و 2003  ، WSH  بصورت پیش فرض نصب می گردد . برای دریافت آخرین نسخه Windows Scrpt  می توان از آدرس Download Windows Script  استفاده نمود .

نحوه تشخیص آسیب پذیر ی سیستم  

• سیستم هائی  که بر روی آنان ویندوز 95 و یا NT بهمراه نسخه IE 5.5 نصب شده است .
• سیستم هائی که بر روی آنان ویندوز 98 ، ME ، 2000,XP و یا 2003 نصب شده است.

در صورتیکه WSH بر روی سیستم نصب و رفتار آن کنترل شده نباشد ، سیستم در معرض آسیب قرار خواهد داشت . در این رابطه لازم است که بررسی لازم در خصوص سیستم هائی که WSH بر روی آنان نصب شده است را انجام و در ادامه با استفاده از روش هائی که دربخش بعد به آنان اشاره خواهد شد ، از یک راهکار منطقی بمنظور حفاظت در مقابل آن  ، استفاده گردد..

نحوه حفاظت در مقابل نقطه آسیب پذیر
در ابتدا لازم است به این نکته مهم اشاره گردد که  برخی برنامه ها وعملیات مدیریتی، نیازمند استفاده از WSH بوده و در صورت غیر فعال نمودن و یا حذف پتانسیل فوق ، برنامه های فوق با اشکال مواجه خواهند شد .

غیرفعال نمودن WSH
 تکنولوژی WSH ، بخشی اختیاری از سیستم عامل ویندوز بوده و می توان با اطمینان و بدون نگرانی خاصی  آن را  در موارد متعددی از روی  کامپیوترها ، حذف و یا غیر فعال نمود.پیشنهاد می گردد ،  بمنظور حفاظت در مقابل حملات و مسائل امنیتی مرتبط با  WSH ، پتانسیل فوق غیر فعال گردد (در مواردیکه به عملکرد آن بر روی سیستم نیاز نمی باشد ) .                                                    
برنامه Noscript.exe ، ارائه شده توسط Symantec ، سرویس WSH را با تغییر نام فایل کلاس های مربوط به هر کلاسی که دارای Wscript.exe و یا Cscript.exe در کلید های  ریجستری ShellOpen2Command و یا ShellOpenCommand است ، غیر فعال می نماید.بدین ترتیب ، پیشگیری لازم در خصوص اجرای تمامی اسکریپت ها صرفنظر از اهداف مثبت و یا منفی آنان  ، انجام خواهد شد . بمنظور نصب  برنامه Noscript.exe  مراحل زیر را دنبال می نمائیم :
 

• دریافت برنامه  Noscript.exe  از سایت Symantec
• پس از  اجراء برنامه Noscript ( برنامه Norton Script Disabler/Enabler ، نمایش داده می شود) با توجه به آخرین وضعیت WSH ( فعال و یا غیر فعال ) ، امکان فعال و یا غیر فعال نمودن آن فراهم می گردد.

تغییر در رفتار پیش فرض WSH
بمنظور حفاظت و پیشگیری لازم در خصوص عملکرد WSH  در جهت انجام  پردازش های اتوماتیک Desktop و مدیریتی با لحاظ نمودن تهدیدات و مسائل ایمنی ، می توان  رفتار پیش فرض ویندوز را در ارتباط با فایل های اسکریپت ( فایل هائی با انشعاب vbs, .vbe, .js, jse, .wsf . ) ، تغییر داد. . نحوه برخورد پیش فرض ویندوز با فایل ها ی اسکریپت ، مشابه فایل های استاندارد اجرائی ویندوز بوده  ( فایل های با انشعاب EXE. و یا COM. )  و بلافاصله آنان اجراء خواهند شد . با تغییر تنظیمات و پیکربندی انجام شده می توان امکان اجرای اتوماتیک اسکریپت های WSH را حذف تا اطمینان لازم در خصوص عدم فعال شدن اسکریپت های غیر مجاز ، فراهم نمود .در چنین مواردی پس از فعال شدن فایل حاوی اسکریپت ، فایل مورد نظر در مقابل اجرای اتوماتیک در یک ادیتور متنی نمایش داده خواهد شد . بدین ترتیب ، کاربران می توانند پس از اطمینان از صحت اسکریپت های نوشته شده ، تصمیم لازم در خصوص اجرای آنان را اتخاذ نمایند . بنابراین ، عرصه برای اسکریپت هائی که سعی در تهدید و آسیب سیستم را دارند ، محدود و در عین حال کنترل شده می گردد. اسکریپت های مجاز WSH ، همچنان امکان اجراء را خواهند داشت . بدین منظور می توان نام فایل حاوی اسکریپت را بعنوان آرگومان برنامه های cscript.exe و یا wscript.exe  تعریف و مشخص نمود .

cscript.exe myscript.vbs
wscript.exe myscript.vbs

بمنظور کسب اطلاعات بیشتر در رابطه با نحوه حذف  و یا غیر فعال نمودنWSH می توان از آدرس   http://www.symantec.com/avcenter/venc/data/win.script.hosting.html  استفاده  نمود .

آنتی ویروس ها
پیشنهادمی گردد که برنامه آنتی ویروس بهنگام شده ای  در gatways ، سرویس دهندگان و میزبانان ، نصب گردد.(علاوه بر غیر فعال نمودنWSH ) . بدین ترتیب،  می توان  با استفاده از پتانسیل های ارائه شده توسط نرم افزارهای فوق ، برخورد لازم در ارتباط با  نامه های الکترونیکی که دارای ضمائم حاوی اسکریپت های مخرب  بمنظور انتشار ویروس ها و کرم ها  می باشند را انجام داد( نظیر فایل های vbs, .vbe, .js, .jse, .wsf, .bat, .exe, .pif and .scr .) .مثلا" برنامه Norton AntiVirus 2001 به بعد،  امکان Script Blocking را ارائه که می تواند میزبانان را در مقابل ویروسهای مبتنی بر WSHحفاظت نماید .

بهنگام سازی موتور ( هسته ) اسکریپت
WSH طی سالیان اخیر ، بدفعات ارتقاء یافته است .آخرین نسخه آن  را می توان از آدرس  Download Windows Script   دریافت نمود .

مجوزهای NTFS
از مجوزهای دستیابی NTFS می توان بمنظور تعریف سطح دستیابی قابل دسترس برای wscript.exe  و jscript.exe  در ارتباط با کاربران و یا گروه هائی ازکاربران بهمراه account های معتبر ویندوز،استفاده نمود . زمانیکه یک دایرکتوری و یا فایل به اشتراک گذاشته می شود ، تنظیمات پیش فرض دستیابی  برای دایرکتوری ها و فایل های NTFS ، بصورت  Full Control و برای گروه Everyone که شامل تمامی کاربران می باشد ، در نظر گرفته می شود. بدین ترتیب ، تمامی کاربران دارای مجوز لازم در خصوص اصلاح ، انتقال وحذف فایل ها و یا دایرکتوری ها ، می باشند.تنظیمات پیش فرض فوق برای wscript.exe و cscript.exe مناسب نمی باشند . ایمن سازی فایل ها و فولدرها شامل حذف کاربران و گروه هائی است که ضرورتی در رابطه با دستیابی به منابع را ندارند . بمنظور تغییر مجوزهای NTFS در ارتباط با یک دایرکتوری و یا فایل مراحل زیر را دنبال می نمائیم :

• فعال نمودن My Computer ، انتخاب درایو ، دایرکتوری و یا فایلی که قصد ایمن سازی آن وجود داشته باشد.
• فعال نمودن صفحه Property مربوط به شی انتخاب شده ( درایو ، دایرکتوری ، فایل ) 
• در بخش Security صفحه خصایص ،  Account مورد نظری که قصد تغییر مجوزهای مرتبط با آن وجود دارد را انتخاب می نمائیم .
• در بخش  Permission ، نوع دستیابی را برای کاربر و یا گروه مربوطه مشخص می نمائیم  .گزینه Allow امکان  دستیابی و Deny عدم دستیابی در ارتباط با یک مجوز ( خواندن ، نوشتن و ... ) را مشخص می نماید .

در صورتیکه در صفحه Property مربوط به فایل ، درایو و یادایرکتوری ، Security tab مشاهده نمی گردد ، سیستم فایل کامپیوتر میزبان بصورت NTFS پیکربندی نشده است . بمنظور تبدیل سیستم فایل به NTFS ، می توان از دستور Convert استفاده نمود (  convert drive_letter: /fs:ntfs ). بمنظور کسب اطلاعات بیشتر در خصوص نحوه تنظیم مجوزهای NTFS ، برای یک دایرکتوری و یا فایل می توان از آدرس http://www.microsoft.com/windows2000/en/server/iis/htm/core/iidfpsc.htm   استفاده نمود .