تحقیق درباره مهمترين نقاط آسيب پذير ويندوز 1

سيستم عامل، يکي از عناصر چهار گانه در يک سيستم کامپيوتري است که داراي نقشي بسيار مهم و حياتي در نحوه مديريت منابع سخت افزاري و نرم افزاري است . پرداختن به مقوله  امنيت سيستم هاي عامل ، همواره از بحث هاي مهم در رابطه با ايمن سازي اطلاعات در يک سيستم کامپيوتري بوده که امروزه با گسترش اينترنت ، اهميت آن مضاعف شده است . بررسي و آناليز امنيت در سيستم هاي عامل مي بايست با ظرافت و در چارچوبي کاملا" علمي و با در نظر گرفتن تمامي واقعيت هاي موجود ، انجام تا از يک طرف تصميم گيرندگان مسائل استراتژيک در يک سازمان قادر به انتخاب مستند و منطقي يک سيستم عامل باشند و از طرف ديگر امکان نگهداري و پشتيباني آن با در نظر گرفتن مجموعه تهديدات موجود و آتي  ، بسرعت و بسادگي ميسر گردد .

اکثر کرم ها و ساير حملات موفقيت آميز در اينترنت ، بدليل وجود نقاط آسيب پذير در تعدادي  اندک  از سرويس هاي سيستم  هاي عامل متداول است . مهاجمان ، با فرصت طلبي خاص خود از روش  هاي متعددي بمنظور سوء استفاده از نقاط ضعف امنيتي شناخته شده ، استفاده نموده  و در اين راستا ابزارهاي  متنوع ، موثر و گسترده اي را بمنظور نيل به اهداف خود ، بخدمت مي گيرند . مهاجمان ، در اين رهگذر متمرکز بر سازمان ها و موسساتي مي گردند که هنوز مسائل موجود امنيتي ( حفره ها و نقاط آسيب پذير ) خود را برطرف نکرده و بدون هيچگونه تبعيضي آنان را بعنوان هدف ، انتخاب مي نمايند . مهاجمان بسادگي و بصورت مخرب ،  کرم هائي نظير : بلستر ، اسلامر و Code Red را در شبکه  منتشر مي نمايند. آگاهي از مهمترين نقاط آسيب پذير در سيستم هاي  عامل ، امري ضروري است . با شناسائي و آناليز اينگونه نقاط آسيب پذير توسط کارشناسان امنيت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمي تدوين شده بمنظور برخورد منطقي با مشکلات موجود و ايجاد يک لايه حفاظتي مناسب مي باشند.

در مجموعه مقالاتي که ارائه خواهد شد ، به بررسي مهمترين نقاط آسيب پذير ويندور خواهيم پرداخت . در اين راستا ، پس از معرفي هر يک از نقاط آسيب پذير ، علت وجود ضعف امنيتي ، سيستم هاي عامل در معرض تهديد ، روش هاي  تشخيص آسيب پذيري سيستم و نحوه مقابله و يا پيشگيري در مقابل هر يک از نقاط آسيب پذير ، بررسي مي گردد .همزمان با  ارائه مجموعه مقالات مرتبط با ويندوز ( پنج مقاله ) ، به بررسي مهمترين نقاط آسيب پذير در يونيکس و لينوکس  ، طي مقالات جداگانه اي خواهيم پرداخت .

همانگونه که اشاره گرديد ، اغلب تهديدات و حملات ، متاثر از وجود نقاط آسيب پذير در سيستم هاي عامل بوده که زمينه تهاجم را براي مهاجمان فراهم مي آورد .  شناسائي و آناليز نقاط آسيب پذير در هر يک از سيستم هاي عامل ، ماحصل  تلاش و پردازش دهها کارشناس امنيتي ورزيده در سطح جهان است و مي بايست مديران سيستم و شبکه در يک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
نقاط آسيب پذير موجود در هر سيستم عامل  که در ادامه به آنان اشاره مي گردد ، سندي پويا و شامل دستورالعمل هاي لازم بمنظور برخورد مناسب با هر يک از نقاط آسيب پذير و لينک هائي به ساير اطلاعات مفيد و تکميلي مرتبط با ضعف امنيتي است .

مهمترين نقاط آسيب پذير ويندوز :

ويندوز ، يکي از سيستم هاي عامل رايج در جهان بوده که امروزه در سطح بسيار وسيعي استفاده مي گردد . تا کنون حملات متعددي توسط مهاجمين متوجه سيستم هائي بوده است که از ويندوز ( نسخه هاي متفاوت )  بعنوان سيستم عامل استفاده مي نمايند . با توجه به حملات متنوع و گسترده انجام شده ، مي توان مهمترين نقاط آسيب پذير ويندوز را به ده گروه عمده تقسيم نمود :

·         Internet Information Services (IIS)

·         Microsoft SQL Server (MSSQL )

·         Windows Authentication

·         Internet Explorer (IE )

·         Windows Remote Access Services

·         Microsoft Data Access Components (MDAC)

·         Windows Scripting Host (WSH)

·         Microsoft Outlook Outlook Express

·         Windows Peer to Peer File Sharing (P2P)

·         Simple Network Management Protocol (SNMP)

در بخش اول اين مقاله ، به بررسي IIS  وMSSQL  (موارد يک و دو)  ، خواهيم پرداخت .

اولين نقطه آسيب پذير :  ( Internet Information Services (IIS

نصب  برنامه IIS با تنظيمات و پيکربندي پيش فرض ، آسيب پذيري خود را در موارد متعددي به اثبات رسانده و مي تواند زمينه تهديدات زير را فراهم نمايد :

• غير فعال نمودن سرويس ( DoS )
• نمايش و بمخاطره انداختن  فايل ها و داده هاي حساس
• اجراء دستورات خودسرانه ( اختياري )
• بمخاطره انداختن کامل سرويس دهنده

IIS از پتانسل  شناخته شده ISAPI ( فايل هائي با انشعاب DLL که به آنان فيلترهاي ISAPI هم گفته مي شود ) بمنظور همبستگي  و ارتباط با  فايل هائي که داراي انشعاباتي خاص مي باشند ، استفاده مي نمايد . پيش پردازنده هائي نظير ColdFusion و PHP از ISAPI استفاده مي نمايند.IIS ، از فيلترهاي ISAPI  ديگر براي انجام عمليات مرتبط با ASP)Active Server Pages ، ( SSI)Server Side Includes) و اشتراک چاپ مبتني بر وب ، استفاده مي نمايد.تعداد زيادي از فيلترهاي ISAPI ، مستلزم عمليات خاص و جداگانه اي براي نصب نبوده و عملا" بصورت پيش فرض و در زمان نصب IIS  بر روس سيستم مستقر ( نصب ) مي گردند . اکثر فيلترهاي فوق ، قابل سوء استفاده توسط مهماجمان مي باشند. Code red و Code Red 2  ، نمونه هائي از برنامه هاي مخرب مي باشند که از ضعف فوق در جهت پيشبرد اهداف خود استفاده نموده اند . 
IIS نيز نظير ساير سرويس دهندگان وب ، شامل برنامه هاي نمونه اي است  که بمنظور اثبات توانائي سرويس دهنده وب ، طراحي شده اند . در طراحي برنامه هاي فوق ، عملکرد آنان با لحاظ نمودن مسائل امنيتي در يک محيط عملياتي و توليدي مورد توجه قرار نگرفته است . برخي ازنمونه برنامه هاي ارائه شده بهمراه IIS ، امکان مشاهده و بازنويسي فايل هاي دلخواه  ويا دستيابي  از راه دور به اطلاعات حساس نظير رمز عبور مديريت سيستم را فراهم مي نمايند .
عدم بهنگام سازي و نگهداري مناسب IIS پس از نصب اوليه ، از ديگر مواردي است که زمينه تهاجم براي مهاجمان را فراهم مي آورد .مثلا" نقاط آسيب پذير WebDAV ntdll.dll   در IIS 5.0 ، امکان حملات از نوع DoS ( غيرفعال نمودن سرويس )  را فراهم و مهاجمان در ادامه قادر به  ايجاد و اجراي اسکريپت هاي مورد نظر خود بر روي سرويس دهنده مي گردند . در مواردي ديگر  و با توجه به نقاط آسيب پذير موجود ، مهاجمان قادر به اجراي دستورات دلخواه خود بر روي سرويس دهنده مي باشند (  درخواست دقيق و ماهرانه آدرس هاي URL  ) .
امکانات و پتانسيل هائي که در ادامه و با توجه به ضرورت بر روي IIS نصب مي گردند ( نظير ColdFusion و PHP )  نيز مي تواند زمينه بروز نقاط آسيب پذير جديدي را فراهم نمايد .اينگونه نقاط آسيب پذير، مي تواند بدليل عدم پيکربندي صحيح و يا وجود ضعف و اشکال امنيتي  در محصول نصب شده اي باشد که  به IIS نيز سرايت مي نمايد ( توارث مشکلات و ضعف هاي امنيتي از يک محصول به محصول ديگر) .

سيستم هاي عامل در معرض تهديد :

• ويندوز NT 4.0 که از IIS 4.0 استفاده مي نمايد .
• ويندوز 2000 سرويس دهنده که از IIS 5.0 استفاده مي نمايد .
• ويندوز XP نسخه Professional که از نسخه IIS 5.1 استفاده مي نمايد .

در رابطه با نقطه آسيب پذير فوق بر روي ويندوز 2003 که از IIS 6.0 استفاده مي نمايد ، تاکنون گزارشي ارائه نشده است .

نحوه تشخيص آسيب پذيري سيستم

در صورتيکه برنامه IIS بصورت پيش فرض و استاندارد نصب و يا Patch هاي  مربوطه بر روي آن نصب نشده باشند ، آسيب پذيري برنامه فوق در مقابل حملات قطعي خواهد بود . مديران سيستم وشبکه  که مسئوليت نصب ، نگهداري و بکارگيري IIS را بر عهده دارند ، مي بايست خود را با جديدترين ابزارهاي  مايکروسافت و مستندات امنيتي ارائه شده در رابطه با مديريت مناسب IIS ، بهنگام نمايند. در اين رابطه مي توان بمنظور دستيابي به مستندات امنيتي مرتبط با IIS از  مرکز امنيتي IIS شرکت مايکروسافت استفاده نمود. پيشنهاد مي گردد ، برنامه  MicrosoftBaseLine Security Analyzer را که شامل روتين هاي حفاظتي مناسب و مرتبط به IIS مي باشد را دريافت و از آن بمنظور بررسي وضعيت امنيتي IIS استفاده بعمل آيد . مديران شبکه ، مي بايست با استفاده از منابع اطلاعاتي متعدد ارائه شده نظير : Checklists ، مستنداتي  که توصيه هاي لازم در جهت ارتقاء سطح امنيتي را ارائه و مستندات آموزشي نقاط آسيب پذير که توسط  مايکروسافت ارائه شده است ،  دانش خود را بهنگام  و با دنبال نمودن فرآيندهاي مناسب فني ، از صحت عملکرد امنيتي IIS بر روي سيستم هاي سازمان خود اطمينان حاصل نمايند.مقايسه وضعيت موجود IIS با وضعيت مطلوب ،  يکي از روش هائي است که مي تواند در اين زمينه مفيد واقع گردد .

نحوه حفاظت در مقابل نقطه آسيب پذير

نصب آخرين Patch ارائه شده: در اولين مرحله ، مي بايست  سيستم را با استفاده از Patch هاي ارائه شده ، بهنگام نمود. Patching يک سرويس دهنده نصب شده ، امري ضروري است  ولي بتنهائي کافي نخواهد بود . بموازات کشف نقاط ضعف جديد در IIS  ، مي بايست  از Patch مربوطه بسرعت استفاده گردد. Windows Update و AutoUpdate گزينه هائي مناسب بمنظور بهنگام سازي IIS با توجه به آخرين Patch هاي ارائه شده است .

 برنامه ( HFNetChk( Network Security HotfixChecker ، به مديران سيستم کمک  لازم در پويش و بررسي محلي و يا از راه دور سيستم ها براي Patch هاي موجود را ارائه مي نمايد . ابزار فوق ، قابل استفاده بر روي ويندوز NT 4.0 ، ويندوز 2000 و ويندوز XP مي باشد . آخرين نسخه ابزار فوق را مي توان از آدرس  http://www.microsoft.com/technet/security/tools/hfnetchk.asp  دريافت کرد .

در صورتيکه از برنامه هاي اضافه شده اي  نظير CouldDusion ،PerlIIS و يا PHP بهمراه IIS استفاده مي گردد ، لازم است به سايت هاي عرضه کنندگان هر يک از محصولات فوق مراجعه و نسبت به آخرين patch ارائه شده در رابطه با هر محصول آگاه و آنان را با توجه به توصيه هاي انجام شده بر روي سيستم نصب نمود . امکان WindowsUpdate و ساير سرويس هاي بهنگام سازي ارائه شده توسط مايکروسافت ، شامل Patch هاي لازم و مرتبط با محصولات اضافه شده ساير شرکت ها در برنامه IIS مايکروسافت نبوده  و لازم است مديران سيستم بهنگام سازي محصولات اضافه شده ( غير مايکروسافت ) در IIS را خود راسا"  انجام دهند .

استفاده از برنامه کمکي IISLockdown بمنظورنصب مطمئن تر : مايکروسافت ، ابزاري ساده بمنظور ايمن سازي نصب IIS را ارائه که ويزارد IISLockdown ناميده مي شود. نسخه موجود را مي توان از آدرس http://www.microsoft.com/technet/security/tools/locktool.asp ، دريافت نمود. با اجراي برنامه فوق در حالت " Custom " و يا " Expert" ، مي توان تغييرات مورد نظر خود را در ارتباط با نصب IIS مشخص نمود. بدين ترتيب ، امکان اعمال تغييرات زير در رابطه با نصب IIS ، فراهم مي گردد :

• غير فعال نمودن WebDAV ( مگر اينکه محيط مورد نظر شما به وجود آن براي نشر محتوي وب ، نياز داشته باشد )
• غير فعال نمودن ISAPI extensions هاي غير ضروري ( نظير : htr، .idq , .ism ، .printer . )
• حذف نمونه برنامه هاي ارائه شده بهمراه IIS
• منع سرويس دهنده وب از اجراء دستورات سيستمي متداول که عموما" توسط مهاجمان استفاده مي گردد( نظير cmd.exe و يا tftp.exe ) .

استفاده از URLScan  بمنظور فيلتر نمودن درخواست هاي HTTP : تعدادي زيادي از حملات مرتبط با نقاط آسيب پذير IIS نظير Code Blue و خانواده Code Red ، از کدهاي مخربي که بصورت درخواست هاي HTTP  سازماندهي مي شوند،استفاده مي نمايند( حملاتي از نوع Buffer Overflow ) . فيلتر URLScan را مي توان بگونه اي پيکربندي نمودکه باعث عدم پذيرش اينچنين درخواست هائي قبل از پردازش آنان توسط سرويس دهنده باشد.برنامه فوق،بهمراه ويزارد IIS Lockdown ارائه ولي مي توان آن را از آدرس : http://www.microsoft.com/technet/security/tools/urlscan.asp نيز دريافت کرد .

دومين  نقطه آسيب پذير :  ( Microsoft SQL Server (MSSQL 
سرويس دهنده SQL مايکروسافت ( MSSQL ) ، داراي چندين نقطه آسيب پذير جدي است که امکان دريافت  اطلاعات حساس، تغيير در محتويات بانک اطلاعاتي وبمخاطره انداختن حيات سرويس دهندگان SQL  توسط مهاجمان را فراهم مي نمايد . در برخي موارد خاص و بدليل عدم پيکربندي  صحيح سيستم  ، ميزبانان سرويس دهنده نيز ممکن است در معرض تهديد و آسيب قرار گيرند . نقاط آسيب پذير MSSQL ، مورد توجه خاص عموم مهاجمان بوده و آنان بسرعت از ضعف هاي امنيتي کشف شده در جهت اهداف خود استفاده مي نمايند. دو کرم SQLSnake/Spida و SQL-Slammer/SQL-Hell/Sapphire  در ساليان اخير ( سال هاي 2002 و 2003 )  از نقاط ضعف شناخته شده MSSQL  استفاده و توانستند در مدت زمان کوتاهي حملات گسترده اي را با توجه به نقظه آسيب پذير فوق ،انجام دهند. ميزبانان آلوده به کرم ها ي فوق ، بمنظور گسترش آلودگي  و جستجو جهت يافتن ساير سيستم هاي آسيب پذير ، ترافيک شبکه را در حد بالائي افزايش داده بودند( اشغال درصد بسيار بالائي از پهناي باند محيط انتقال ).  براي دريافت اطلاعات تکميلي در رابطه با کرم هاي فوق ، مي توان از منابع و آدرس هاي زير استفاده نمود :

اطلاعات تکميلي در رابطه با کرم SQLSnake/Spida  ( فعال شده در May 2002 )  :

• http://isc.incidents.org/analysis.html?id=157
• http://www.eeye.com/html/Research/Advisories/AL20020522.html
• http://www.cert.org/incident_notes/IN-2002-04.html

اطلاعات تکميلي در رابطه با کرم SQL-Slammer/SQL-Hell/Sapphire ( فعال شده در تاريخ January 2003 ) :

• http://isc.incidents.org/analysis.html?id=157
• http://www.nextgenss.com/advisories/mssql-udp.txt
• http://www.eeye.com/html/Research/Flash/AL20030125.html
• http://www.cert.org/advisories/CA-2003-04.html

براساس گزارش ارائه شده توسط  Internet Storm Center، پورت هاي  1433 و 1434 ( پورت هاي پيش فرض سرويس دهنده MSSQL )  ، از جمله پورت هائي مي باشند که بصورت دائم توسط مهاجمين مورد بررسي ( نگاه موشکافانه ) قرار مي گيرد.

 نحوه عملکرد کرم SQLSnake ، به account مديريتي پيش فرض (  sa" account"  که داراي يک رمز عبور Null مي باشد )  بستگي دارد.در اين رابطه لازم است پيکربندي سيستم بطرز صحيحي انجام و هر يک از سيستم هاي موجود بمنظور حصول اطمينان از دارا بودن رمز عبور مرتبط با account مربوطه بررسي و بدرستي حفاظت گردند . در صورتيکه از account خاصي استفاده نمي شود ، مي بايست نسبت به غير فعال نمودن آنان اقدام گردد.. بمنظوردريافت اطلاعات تکميلي در رابطه تنظيم و مديريت sa Account ، مي توان از مستندات ارائه شده در آدرس " Changing the SQL Sever Administrator Login"  استفاده نمود . sa Account ، مي بايست داراي يک رمز عبور پيچيده بوده که حدس و تشخيص آن مشکل باشد( حتي اگر از آن بمنظور اجراء SQL/MSDE استفاده نمي شود ) .

نحوه عملکرد کرم SQL Slammer ، بر اساس يک Buffer Overflow در SQL Server Resolution Service  است . Buffer Overflow  فوق ، موجب گسترش ( حمل )  مشکل از سيستمي به سيستم ديگر شده و در اين راستا امنيت ميزبان زمانيکه کرم اقدام به ارسال بسته هاي اطلاعاتي تهديد آميز خود به پورت 1434 سيستم هاي مقصد آسيب پذير مي نمايد، در معرض تهديد و آلودگي قرار مي گيرد. در صورتيکه بر روي يک ماشين ، سرويس هائي از SQL اجراء که مرتبط با اين نوع Stack BufferOverflow مي باشند و بسته هاي اطلاعاتي خود را  بر اساس واقعيت فوق دريافت مي نمايد ، تمامي سيستم ها و سرويس دهندگان در معرض تهديد قرار خواهند گرفت .موثرترين روش دفاع در مقابل کرم فوق، Patching مستمر ، اقدامات لازم در جهت پيکربندي سيستم بصورت کنشگرايانه ، پيشگيري سيستم بصورت پويش هاي ادواري و  فيلترينگ پورت 1434 مربوط به UDP در gatway هاي شبکه است ( اجازه ورود و خروج بسته هاي اطلاعاتي مرتبط با پورت اشاره شده ) .

عملکرد Microsoft Server 2000 Desktop Engine ) ، MSDE 2000)، را مي توان بعنوان " SQL ServerLite" ( زير بناء سرويس دهنده SQL ) در نظرگرفت . تعداد زيادي از صاحبان سيستم حتي نسبت به اين موضوع که بر روي سيستم آنان MSDE اجراء و آنان داراي يک نسخه از SQLServer نصب شده بر روي سيستم مي باشند ، آگاهي و شنخت مناسبي را ندارند. MSDE 2000 ، بعنوان يکي از اجزاء اساسي بهمراه محصولات زير نصب مي گردد :

• SQL/MSDE Server 2000 (Developer, Standard and Enterprise Editions) 
• Visual Studio .NET (Architect, Developer and Professional Editions)
• ASP.NET Web Matrix Tool
• Office XP
• Access 2002
• Visual Fox Pro 7.0/8.0  

علاوه بر موارد فوق،نرم افزارهاي متعدد ديگري وجود دارد که از MSDE 2000 استفاده مي نمايند . براي مشاهده ليست تمامي محصولات مربوطه ، مي توان از اطلاعات موجود در آدرس : http://www.SQLsecurity.com/forum/applicationslistgridall.aspx  استفاده نمود . باتوجه به اينکه، نرم افزارهاي فوق ، از MSDE بعنوان هسته اساسي بانک اطلاعاتي استفاده مي نمايند ، آنان نيز داراي  نقاط آسيب پذير مشابه  سرويس دهنده SQL/MSDE  خواهند بود.پيکربندي MSDE 2000 را مي توان بگونه اي انجام داد  که با استفاده از روش هاي مختلف به درخواست هاي اتصال به بانک اطلاعاتي توسط سرويس گيرندگان،گوش داده شود. مثلا"  پيکربندي فوق را مي توان بصورتي انجام داد که سرويس گيرندگان قادر به استفاده از named pipes بر روي يک NetBIOSSession ( پورت  139/445 پورت TCP ) بوده  و يا از سوکت هائي که سرويس گيرندگان با استفاده از پورت 1433 مربوط به TCP به آن متصل مي گردند ( امکان استفاده از هر دو رويکرد اشاره شده نيز وجود دارد ) . صرفنظر ازروش انتخابي ، سرويس دهنده SQL و MSDE همواره به پورت 1434 مربوط به UDP گوش خواهند داد . پورت فوق بعنوان يک پورت هماهنگ کننده طراحي شده است . سرويس گيرندگان يک پيام را براي پورت فوق ارسال تا  نحوه اتصال سرويس گيرنده به سرويس دهنده ، مشخص گردد .

هسته MSDE 2000 ،در موارديکه با يک بسته اطلاعاتي تک بايتي 0x02  ، بر روي پورت 1434 مربوط به UDP مواجه گردد ، اطلاعاتي در رابطه با خود را برمي گرداند . ساير بسته هاي اطلاعاتي تکي بايت بدون اينکه الزامي به تائيد آنان براي سرويس دهنده وجود داشته باشد،باعث  بروز يک Buffer overflow مي گردند .با توجه به اينکه سازماندهي حملات ازاين نوع  بر اساس UDP انجام خواهد شد ، وضعيت تهاجم فوق وخيم تر خواهد شد .  (صرفنظر از اينکه پردازه هاي MSDE 2000  در يک بافتار امنيتي مربوط به  يک DomainUser و يا account مربوط به LocalSystem  اجراء مي گردند). استفاده موفقيت آميز از حفره هاي امنيتي موجود ، مي تواند سيستم مقصد را در معرض مخاطره و تهديد قرار دهد .

با توجه به اينکه SQL Slammer از يک Bufferoverflow بر روي سيستم مقصد استفاده مي نمايد ،استفاده مستمر از Patching و  پيکربندي دقيق سيستم ، کمک لازم در جهت کاهش تهديد فوق را ارائه مي نمايد . با دريافت و استفاده از ابزارهاي دفاعي نظير : Microsoft SQLCritical Update Kit ، مي توان تمام Domain و يا شبکه هاي شامل سيستم هاي آسيب پذير را بررسي و بصورت فايل هاي متاثر را بهنگام نمود. براي آشنائي و آناليز جزيئات مربوط به کرم  اسلامر SQL/MSDE ، مي توان از آدرس Incidents.orgاستفاده نمود .

سيستم هاي عامل در معرض تهديد :

هر يک از نسخه هاي ويندوز که  بهمراه آنان SQL/MSDE Server 7.0  ، SQL/MSDE Server 2000 و يا Microsoft SQL/MSDE Desktop Engine 2000 نصب شده باشد و هر سيستم نرم افزاري ديگري که بصورت جداگانه از موتور MSDE 2000 استفاده مي نمايد،  در معرض اين تهديد و آسيب قرار خواهد شد .

نحوه تشخيص آسيب پذيري سيستم

شرکت مايکروسافت مجموعه اي از ابزارهاي امنيتي را در اين رابطه ارائه که مي توان از طريق آدرس  http://www.microsoft.com/sql/downloads/securitytools.asp به آنان دستيابي پيدا نمود . Toolkit ارائه شده ،SQL Critical Update Kit  ناميده شده و شامل ابزارهائي نظير SQL Scan و SQL Critical Update است . سايت SqlSecurity.com نيز در اين رابطه ابزاري با نام SQLPingv2.2  را ارائه داده است .ابزار فوق ، يک بسته اطلاعاتي UDP تک بايتي ( مقدار بايت 0X02 ) را به پورت 1434  مربوط به يک ميزبان و يا تمامي Subnet ارسال مي نمايد .سرويس دهندگان SQL که به پورت UDP 1434 گوش مي دهند ، به آن پاسخ  لازم را داده و اطلاعاتي در ارتباط با سيستم نظير شماره نسخه و ساير موارد مربوطه را اعلام مي نمايد . عملکرد نرم افزار فوق مشابه Microsoft SQL Scan است .

نحوه حفاظت در مقابل نقطه آسيب پذير :

بمنظور حفاظت سيستم ها  در مقابل نقطه آسيب پذير فوق ، عمليات زير را دنبال مي نمائيم :

• غير فعال نمودن SQL/MSDE Monitor Service در پورت UDP 1434  .  بمنظورانجام خواسته  فوق، مي توان اقدام به نصب و استفاده از قابليت هاي ارائه شده بهمراه SQL Server 2000 ServicePack 3a  نمود. موتور MSDE 2000  داراي دو نقطه آسيب پذير Buffer Overflow است که مي تواند توسط يک مهاجم استفاده و از راه دور و بدون هيچگونه الزامي جهت  تائيد کاربر، به سرويس دهنده متصل و يک تهاجم از طريق UDP را باعث شود. صرفنظر از اينکه پردازه هاي MSDE 2000  در بافتار امنيتي يک DomainUser و يا account مربوط به LocalSystem  اجراء مي گردند ، استفاده موفقيت آميز از حفره هاي امنيتي موجود، ممکن است سيستم مقصد را در معرض مخاطره و تهديد قرار دهد . کرم MS-SQL/MSDE Slammer يک بسته اطلاعاتي شامل  376 بايت را از طريق پورت UDP 1434 براي مقصد مورد نظر خود که بصورت تصادفي انتخاب مي گردد، ارسال مي نمايد. سيستم هاي در معرض تهاجم  پس از آلودگي ، اقدام به ارسال بسته هاي اطلاعاتي مشابه 376 بايتي مي نمايند . کرم فوق ،  ترافيک موجود در شبکه را افزايش خواهد داد .آدرس هاي IP که بصورت تصادفي انتخاب مي گردند ، از نوع multicast بوده و در نهايت يک تهاجم از نوع DoS ( غير فعال نمودن يک سرويس ) بر روي شبکه مقصد، محقق خواهد شد. بر اساس گزارشات ثبت شده ، يک ماشين آلوده  بيش از پنجاه MB/Sec  از ترافيک شبکه رابخود اختصاص و عملا" امکان انجام ساير عمليات بر روي شبکه سلب مي گردد.
• بکارگيري آخرين ServicePack براي سرويس دهنده SQL/MSDE و MSDE 2000  . آخرين نسخه هاي ServicePack در رابطه با سرويس دهنده SQL/MSDE  عبارتند از :
  - SQL/MSDE Server 7.0 Service Pack 4
  - MSDE/SQL Server 2000 ServicePack 3a 
  بمنظور اطمينان از بهنگام بودن سيستم مي توان از "  MakeYour SQL/MSDE Servers Less Vulnerable"   استفاده نمود.
• بکارگيري آخرين Patch ارائه شده پس از آخرين ServicePack . بمنظور آگاهي از آخرين Patch هاي ارائه شده براي تمامي نسخه هاي سرويس دهنده SQL/MSDE/MSDE مي توان از بولتن امنيتي ارائه شده توسط مايکروسافت استفاده نمود .  بمنظور اطمينان از نصب آخرين Patch موجود در رابطه با سرويس دهنده SQL/MSDE مي توان از آدرس هاي زير استفاده کرد :
  - MicrosoftSQL/MSDE Server 7.0
  - MicrosoftSQL Server 2000
  - MSDEServer Desktop Engine 2000 (MSDE 2000)
• بکارگيري Patch هاي  خاص و جداگانه اي که پس از آخرين Patch مربوطه ارائه شده اند .پس از معرفي  MS02-061Elevation of Privilege in SQL/MSDE Server Web Tasks   ، تاکنون Patch مربوطه اي در اين زمينه ارائه نشده است . بمنظور اطمينان و آگاهي از اخرين Patch ارائه شده مي توان از آدرس هاي زير استفاده نمود :
  - MicrosoftSQL/MSDE Server 7.0
  - MicrosoftSQL Server 2000
  - MSDEServer Desktop Engine 2000 (MSDE 2000)
• فعال نمودن SQL ServerAuthentication Logging .  امکان فوق عموما" غير فعال است . بمنظور فعال نمودن آن مي توان از طريق برنامه Enterprise Manager  اقدام نمود( Server Properties|Tab Security )
• ايمن سازي سرويس دهنده در سطح سيستم و شبکه . يکي از متداولترين حملات MSSQL/MSDE ، برخاسته از account مديريتي پيش فرض ( شناخته شده با نام "sa" ) بوده  که داراي  يک رمز عبور تهي ( blank ) است. در صورتيکه sa Account مربوط به SQL/MSDE  داراي رمز عبور حفاظت شده اي نمي باشد ، سيستم در معرض تهديد جدي قرار خواهد داشت . لازم است در اين راستا از پيشنهادات ارائه شده در بخش System Administrator(SA) Login مربوط به SQL/MSDEServer Book Online  استفاده تا اطمينان لازم در خصوص مطمئن بودن رمز عبور sa Account حاصل گردد . ( حتي اگر سرويس دهنده SQL/MSDE مربوطه از account فوق استفاده نمي نمايد، نيز مي بايست اقدامات امنيـتي لازم ضورت پذيرد ) . با استفاده از مستندات ارائه شده در MSDN مايکروسافت و در بخش Changingthe SQL Server Administrator Login  ، و  Verifyand Change the System Administrator Password by Using MSDE  مي توان از آخرين امکانات و توصيه هاي ارائه شده بمنظور پيکربندي و تنظيم مناسبsaAccount  ، استفاده نمود .
• به حداقل رساندن امتيازات مربوط به سرويس MSSQL/MSDE و سرويس دهنده SQL/MSDE Server Agent. در اين رابطه پيشنهاد مي گردد که سرويس MSSQL/MSDE سرويس دهنده و SQL/MSDE Server Agent ، تحت يک Valid Domain account با حداقل امتيازات مربوط اجراء گردد( نه بعنوان يک domain administrator  و يا SYSTEM ( در ويندوز NT ) و يا LocalSystem ( در ويندوز 2000 و يا XP ) ) . يک سرويس در معرض آسيب که بهمراه امتيازات محلي و يا Domain اجراء مي گردد ،به يک مهاجم امکان کنترل کامل سيستم و يا شبکه را خواهد داد  . در اين رابطه موارد زير پيشنهاد مي گردد :

- فعال نمودن Windows NT Authenticationو auditing براي Login هاي موفقيت آميز و يا با شکست مواجه شده ، در ادامه سرويس MSSQL/MSDEServer رامتوقف و مجددا" آنان را فعال  نمائيد . در صورت امکان ، پيکربندي سرويس گيرندگان را بگونه اي انجام دهيد که از NTAuthentication  استفاده نمايند .

- فيلترينگ بسته هاي اطلاعاتي مي بايست در محدوده هاي مرزي شبکه انجام تا پيشگيري و ممانعت  لازم در خصوص اتصالات ورودي و خروجي غير مجاز به MSSQL و مرتبط با سرويس هاي خاص صورت پذيرد . فيلترينگ نقطه ورود و خروج پورت هاي 1434 و 1433 مربوط به TCP/UDP مي تواند باعث ممانعت مهاجمان داخلي و يا خارجي از پويش و آلودگي سرويس دهندگان SQL/MSDE که داراي پتانسيل آسيب پذيري مي باشند، گردد .
- درصورتيکه لازم است از پورت هاي 1433 و 1434 مربوط به TCP/UDP استفاده گردد ، مي بايست فيلترينگ مناسبي در ارتباط با استفاده نادرست از پورت هاي فوق را انجام داد .