Skip to Content

نمایشگر دسته ای مطالب نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

آسیب پذیری در DNS ویندوز

در  سرویس DNS ویندوز 8، ویندوز 10، ویندوز سرور 2012 و ویندوز سرور 2016 ، باگی که با شناسه CVE-2017-11779 ردیابی شده است – یافت شده که روی DNSAPI.dll اثر میگذارد. DNSAPI.dll  فایل است   که درخواست های DNS را میسازد و پاسخ را از سرور DNS دریافت میکند. این باگ  فقط به ویندوز 8 یا بالاتر  اختصاص دارد زیرا نقص امنیتی در چگونگی اجرای فایل DNSAPI.dll و مدیریت درخواست های DNS ساخته شده در حین پروتکل DNSSEC را وجود دارد. DNSAPI یک ورژن امن تر از پروتکل کلاسیک DNS است.  ویندوز 8 اولین نسخه ویندوز برای پشتیبانی  از این پروتکل بود.

باگ شرایط اجرای کد مخرب با سطح دسترسی مدیرسیستم را فراهم می کند.

Nick Freeman ، محقق امنیتی BishopFox می گوید:  برای بهره برداری از باگ، مهاجم باید یک سرور DNS مخرب را راه اندازی کند و شبکه ی محلی هدف را برای ربودن ترافیک DNS از بین ببرد. در آن نقطه مهاجم تنها به انتظار برای یک برنامه با ادمین یا system-level privileges برای ساخت درخواست DNS نیاز دارد. این مسئله ای نیست چون بسیاری از برنامه های امروزی درخواست های DNS را مهیا میسازند و بسیاری از کاربران از یک اکانت Windows admin-level برای عملیات روز به روز خود استفاده میکنند. علاوه بر این، DLL مشابه هم درخواست های DNS ساخته شده توسط بسیاری از سرویس های ویندوز اصلی را انجام میدهد، بنابراین ، مهاجم در نهایت پاسخ DNS  مورد نظرخود را توسط یک از سرویس های اصلی دارد،  که کد مخرب اضافه شده در درون را  با system-level privileges اجرا می کند. محققان توضیح میدهند که سرویس Windows DNS caching که فایل DNSAPI.dll را استفاده میکند اگر درهم بشکند، به صورت اتوماتیک ری استارت خواهد شد. این باعث می شود که مهاجم تلاش های نامحدودی برای بهره برداری از باگ تا زمانی که دسترسی به سطح سیستم را به دست آورد، داشته باشد.

مهاجم نیاز به مسیر مستقیمی برای اهداف دارد

تنها خبر خوب برای کاربران این است که بسته های DNS آلوده برای استفاده از  این باگ نباید  از سرورهای DNS قانونی عبور کنند. این بدان معناست که مهاجم باید با هدف خود روی شبکه  باشد. مایکروسافت این باگ را با آپدیت بخشی از the October 2017 Patch Tuesday که امروز منتشر شده، به روز رسانی کرد.