نفوذ به Windows Server از طریق باگ سرویس WDS

به گزارش لابراتوار امنیتی دارکوب؛ پژوهشگران امنیتی در هفته گذشته، جزئیاتی درباره یک باگ منتشر کردند که به مهاجمین اجازه می‌دهد تا از ویندوز سرور بهره‌برداری و از (Windows Deployment Services (WDS سوءاستفاده کنند تا سرور را تحت کنترل گیرند و حتی درپشتی قرار دهند.

این باگ که مایکروسافت آن را در ماه نوامبر گذشته رفع کرد، تمامی نسخه‌های Windows Servers ۲۰۰۸ SP۲ و بالاتر را تحت تاثیر قرار و همچنین مولفه WDS موجود در این سیستم‌ها را نیز تحت تاثیر قرار می‌دهد.

مولفه WDS یک ویژگی است که مدیران سیستم از آن برای راه‌اندازی سیستم‌عامل‌های ویندوز در رایانه‌ها در یک مکان مرکزی که یک سیستم‌عامل ویندوز سرور که سرویس‌های WDS را اجرا می‌کند، استفاده می‌شود.

در سطح فنی این کار با اجرای یک Network Boot Program یا (NBP) انجام می‌شود که پیام‌های قبل از بوت را به (PXE (Preboot eXecution Environment ایستگاه‌های کاری محلی ارسال می‌کند. این تعاملات بین سرور و ایستگاه‌های کاری به وسیله TFTP انجام می‌شود. این پروتکل نسخه قدیمی و ناامن FTP است.

پژوهشگران بیان کردند که هیچ مشکلی در خود پروتکل TFTP وجود ندارد و نقص تنها در پیاده‌سازی آن توسط این سرویس است. در هنگام آزمایش پیاده‌سازی این پروتکل در WDS پژوهشگران متوجه شدند که با ایجاد بسته‌های مخرب می‌توانند کد مخرب در نمونه‌های ویندوز سرور اجرا کنند.

هکر با دسترسی محلی می‌تواند از این طریق کنترل ویندوز سرور را بدست گیرد. از نظر تئوری، در صورتی که سرور بصورت خارجی در معرض دسترسی باشد نیز این حمله انجام پذیر است، اما معمولا سرویس WDS در داخل LAN قابل دسترسی است.

جریان حمله اصلی یک نفوذ از نوع port-in-the-wall است. در این نوع، مهاجم بصورت فیزیکی لپ‌تاپ خود را به یک پورت شبکه در داخل سازمان متصل می‌کند. این نوع حمله بسیار مرسوم است.

درصورتی که هکر کنترل ویندوز سرور را بدست گیرد، کنترل کامل کل شبکه را نیز به دست می‌گیرد و به سادگی می‌تواند نسخه‌های ویندوز درپشتی را در سیستم‌های محلی قرار دهد. برای رفع این نقص، بروزرسانی‌های امنیتی نوامبر ۲۰۱۸ باید نصب شوند.