مرکز آپا دانشگاه کردستان

آسیب‌پذیری سیستمی جدید بر نسخه‌های مختلف ویندوز

اخیرا ‫مایکروسافت، گزارشی در مورد یک آسیب‌پذیری مهم Denial of Service منتشر کرده که بر روی اغلب نسخه‌های مختلف سیستم عامل ویندوز وجود دارد. این ‫آسیب‌پذیری، ویندوزهای نسخه 7 تا 10 ، همچنین ویندوز نسخه 8.1 RT و ویندوز سرورهای 2008، 2012 و 2016 را تحت تاثیر قرار می‌دهد. همچنین نسخه‌های Core Installation ویندوزهای سرور هم شامل این آسیب‌پذیری می‌باشد که متاسفانه در آخرین به روز رسانی‌های ماه سپتامبر کمپانی مایکروسافت برای نسخه‌های مختلف ویندوز، وصله امنیتی برای این آسیب‌پذیری منتشر نشده است. این آسیب‌پذیری که دارای شماره شناسایی CVE-2018-5391 می‌باشد توسط حمله FragmentSmack صورت می‌گیرد که مربوطه به پاسخ دهنده به درخواست‌های IP fragmentation بوده و این خود در پروسه تخصیص دادن ماکزیمم سایز پاکت‌های در حال انتقال یا همان MTU جهت رسیدن به End Node مورد استفاده قرار می‌گیرد. همانطور که می‌دانید، در حالت کلی حمله IP fragmentation نوعی از حملات جهت DoS کردن هدف می‌باشد که کامپیوتر قربانی چندین Packet با سایزی کوچکتر از مقداری که انتظار می رود از IP های مختلف دریافت می‌کند و درگیر شدن بیش از حد سیستم برای reassemble کردن Packet های مربوطه، باعث به وجود آمدن این حمله می‌گردد. حمله FragmentSmack نوعی از حملات TCP fragmentation می‌باشد و گاهی آن را با نام Teardrop معرفی می‌کنند، در حالت کلی باعث جلوگیری از reassembling شدن پاکت‌ها در مقصد می‌گردد. این آسیب‌پذیری که از زمان ویندوز 3.1 و ویندوز 95 هم وجود داشته و باعث crash شدن سیستم عامل می‌شد، هم اکنون بر روی ویندوز نسخه 7 و بالاتر هم مشاهده شده است. بر طبق گفته‌های منتشر شده مایکروسافت، نفوذگر پاکت‌های متوالی IP Fragment با سایز 8 بایت که offset های شروعی آن‌ها به صورت تصادفی تعیین شده است را برای قربانی می‌فرستد، اما با نگه داشتن آخرین fragment و Exploit کردن موفقیت آمیز آسیب‌پذیری، توسط بالا بردن درصد کارکرد CPU می‌تواند سیستم قربانی را DoS کند. مایکروسافت تا زمانی که وصله امنیتی رسمی برای این آسیب‌پذیری ارائه کند، راه حل زیر را برای غیر فعال کردن ساختار Packet Reassembly ارائه کرده که این راه حل باعث جلوگیری از حمله FragmentSmack و DoS شدن سیستم‌های ویندوزی می‌گردد. این کار توسط اجرا دستورات زیر در سیستم عامل ممکن می‌شود: Netsh int ipv4 set global reassemblylimit=0 Netsh int ipv6 set global reassemblylimit=0 شایان ذکر است که این آسیب‌پذیری در سیستم عامل‌های لینوکسی هم منتشر شده که با نام SegmentSmack معرفی شده است و شماره شناسایی آن CVE-2018-5390 می‌باشد. این آسیب‌پذیری لینوکس‌هایی با نسخه هسته 3.9 و بالاتر را تحت تاثیر قرار می‌دهد اما در اکثر توزیع‌های لینوکسی مهم، این آسیب‌پذیری در به روز رسانی‌های جدید خود رفع شده است.