حدود ۲ هفته پيش گروه لهستانی LSD خبری را مبنی بر كشف يك نقص امنيتی جدی در تمام سيستم های عامل مبتنی بر ويندوز مايكروسافت اعلام كرد. طبق اين خبر سيستم های windows NT4, Windows 2000, Windows XPو حتی windows 2003 server دچار اين نقص امنيتی هستند.

   بلافاصله پس از اعلام اين خبر، بخش امنيت شركت مايكروسافت، با تاييد اين موضوع توانست به كمك گروه LSD ايراد امنيتی را شناسايی و patch لازم برای اصلاح آن را آماده سازد.
   اقدام مسئولانه اين گروه در عدم انتشار اطلاعات تكنيكی اين نقص امنيتی كه می توانست به سوءاستفاده خرابكاران از اين ضعف امنيتی برای نفوذ به سيستم های رايانه ای منجر شود، قابل ملاحظه بود. در حالی كه درست در همين زمان، چند گروه امنيتی ديگر به منظور پيش دستی و زير سوال بردن كار گروه LSD قصد انتشار برنامه نفوذ (Exploit) با استفاده از اين ضعف امنيتی را داشتند.

   نقص امنيتی مذكور، مر بوط به پروتكل RPC است كه روی سيستم عامل ويندوز استفاده شده است. به طور كلی RPC اين امكان را فراهم می سازد كه برنامه ای روی يك كامپيوتر بتواند با داشتن دسترسی ها و مجوزهای لازم، كدهايی را روی كامپيوتر ديگری (حتی با يك سيستم عامل متفاوت) اجرا نمايد.

   بخشی از سيستم عامل ويندوز به نام DCOM كه از پروتكل RPC برای ارتباط با سرويس گيرنده ها استفاده می كند، به طرز نادرستی  پارامترهای دريافت شده از سرويس گيرنده ها را بكار می گيرد. بدين ترتيب، يك نفوذگر قادر خواهد بود با ارسال پارامترهای خاص به اين بخش از سيستم عامل، باعث بروز اشكال در كاركرد عادی سيستم، و حتی اجرای كد مخرب روی سيستم شود.

   از اوايل هفته جاری چند گروه، مستقلاً اقدام به انتشار كدهای exploit برای اين نقص امنيتی نمودند. به اين ترتيب حتی افراد با دانش كم از برنامه نويسی، می توانند با دريافت اين كدها، اقدام به نفوذ به سيستم های كامپيوتری  مبتنی بر ويندوز نمايند. اولين كد exploit در اين زمينه توسط گروه چينی xfocus منتشر شد.

   نگرانی عمده متخصصين امنيت مربوط به احتمال استفاده از اين كدها برای طراحی يك كرم كامپيوتری جديد همانند كرم Slammer است كه سال پيش باعث بروز خسارت عظيمی در شبكه های كامپيوتری شد. به احتمال زياد در چند روز آينده بايد منتظر آغاز فعاليت ويروس -يا ويروس های- جديد مبتنی بر اين ضعف امنيتی باشيم.

روش های ايمن سازی:

۱- در اولين فرصت، اقدام به دريافت و نصب patch ارائه شده از سوی شركت مايكروسافت نماييد. patch های مربوطه در آدرس زير قابل دريافت هستند:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

۲- در صورتی كه از Firewall (ديواره آتش) در شبكه خود استفاده می كنيد، دسترسی به پورت های زير را مسدود نماييد:

TCP/UDP 135

TCP/UDP 139

TCP/UDP 445

 

مشكل مسيرياب های اينترنتي
در طی چند روز گذشته،  شاهد پیدا شدن مشکل جدیدی بر روی تجهیزات شبکه شرکت Cisco  بودیم که متاسفانه بعد از گذشت چند روز، هنوز بسیاری از شرکت های خدمات دهنده اینترنتی -چه ISP و چه ICP- جهت برطرف کردن این مشکل از روی تجهیزات خود، هیچگونه اقدامی را انجام نداده اند.
بدیهی است در صورت عدم رفع این مشکل، امکان از کارافتادن قسمت بزرگی از شاهراه اصلی اینترنت ایران را در پیش رو داریم، که امید است با توجه مسئولین و مدیران شبکه های داخلی، هر چه زودتر  خود را در برابر بروز چنین مشکلاتی آماده ساخته و اقدامات لازم را جهت پیشگیری از مورد حمله قرار گرفتن از سوی نفوذگران داخلی و خارجی اتخاذ نمایند .

   قابل ذکر است تمام محدوده آی پی  217.218.1.1   تا   217.218.254.254  به صورت کامل مورد ارزیابی قرار گرفته و نتایج به زودی روی وب سايت اين گروه قابل دریافت خواهد بود. شرکت هایی که IP هایی را در این محدوده استفاده می کنند، می توانند با استفاده از این لیست، در صورت وجود مشکل هر چه سریع تر اقدام به حل این مشکل نمايند.