I. نظرة عامة
في الآونة الأخيرة، آن يوما الالكترونيات الدقيقة وجزءا لا يتجزأ أبحاث الأمن والتنمية (الأمن اليوم جزءا لا يتجزأ) للSafeBreach شركات للكشف عن ويندوز تقنيات عمليات الثغرات الأمنية نظام التشغيل مفصلة التحليل والتحقق. مهاجم الذين يستغلون هذا الضعف يمكن استكمال السيطرة على الجهاز الهدف، مثل تنفيذ الأمر البعيد، تحميل ملف / التنزيلات. في هذا الصدد، وإنشاء مجموعة تحليل جزءا لا يتجزأ من اليوم آمنة وتحليلها والتحقق من صحة مبدأ POC SafeBreach أعلن في الضعف على تنفيذ جيثب لتأكيد نطاق الضعف، وحماية المقابلة لتطبيق سيناريوهات مختلفة التوصيات.
1.1 ويندوز تقنيات عمليات مقدمة
سوق ويندوز تقنيات عمليات كثاني أكبر نظام لينكس نظام، وتقنيات عمليات الأساسية Windows هو إصدار نظام التشغيل الأساسية للإنترنت الأشياء، والتي تغطي العديد من المجالات من المنزل الذكي، والرعاية الصحية الذكية، المدن الذكية والخدمات اللوجستية الذكية. نوافذ تقنيات عمليات في الإصدارات تقنيات عمليات الأساسية وتقنيات عمليات المؤسسة، ويندوز تقنيات عمليات الأساسية اسهم صورة مقسمة إلى نسختين وصورة مخصصة. حيث، ويشار إصدار الأوراق المالية صورة أيضا باسم اختبار نسخة صورة، والتي تشمل تطوير واجهات الأجهزة لأغراض الاختبار التوافق.
أنظمة ويندوز تقنيات عمليات الأساسية المعتمدة حاليا منصات الأجهزة ما يلي: كوالكوم DragonBoard 410c، فطيرة التوت التوت بي 23B، MinnowBoard الترس، Aaeon حتى تربيع.
اتفاق إطاري 1.2 HLK وSirep الملف الشخصي
HLK (الأجهزة مختبر كيت) هو اختبار للتوافق بين الإطار اختبار وبرامج تشغيل الأجهزة المناظرة ونظام ويندوز. برامج الكمبيوتر HLK ستوديو يحتوي على جزء خادم إطار الاختبار، اختبار جهاز يحتوي على جزء العميل من الإطار الاختبار. يمكن للمستخدم تحديد اختبار HLK ستوديو إرسالها إلى جهاز اختبار لفحصها. في تنفيذ الكامنة، HLK ستوديو بروتوكول البرمجيات Sirep للتفاعل مع الجهاز لفحصها. HLK Server و HLK العميل العلاقة هو مبين في الشكل 1-1:
يقع بروتوكول Sirep ملف DLL تنفيذها ويندوز تقنيات عمليات كور النظام C: \ .. \ testsirepsvc.dll الموقف، والأدوات DLL ويتألف ظيفة التواصل بين HLK ستوديو ونظام ويندوز تقنيات عمليات الأساسية، وإرسالها إلى تنفيذ HLK ستوديو ويندوز تقنيات عمليات الأساسية اختبار المهام وغيرها من المهام. بروتوكول Sirep نفسها لتحقيق المهام التالية:
تحصل على معلومات نظام ويندوز تقنيات عمليات الأساسية.
نوافذ تقنيات عمليات الأساسية تنفيذ أوامر النظام؛
تحميل ملف النظام الأساسية تقنيات عمليات التشغيل ويندوز؛
تحميل الملفات إلى نظام ويندوز تقنيات عمليات الأساسية.
الحصول على المعلومات سمة ملف نظام ويندوز تقنيات عمليات الأساسية.
ثانيا، نطاق
وفقا لمجموعة من المعلومات والتحليلات العامة في الواقع، فإن الأثر الرئيسي للضعف هو حاليا ويندوز تقنيات عمليات الأساسية للبورصة / اختبار صورة الإصدار. إذا كان المطور أو البائع يستخدم إصدار صورة أسهم / اختبار النظام في الإصدار النهائي من المنتج، والمنتج هو اتصال سلكي وهناك مشهد، ستخضع لضعف الإفصاح. إصدارات مخصصة تحتاج إلى بناء وتحليل الفريق لم إصدارات مخصصة من أنظمة ويندوز تقنيات عمليات للتحقق من CA (المرجع المصدق) شهادة موقعة شراء واستخدام الشهادة لتوقيع النسخة المخصصة للنظام، بسبب ضيق الوقت من.
الثالث، وتحليل هشاشة الأوضاع
التحليل باستخدام توت العليق بي 2B ويندوز تقنيات عمليات الأساسية (17763) نسخة كبيئة التحقق. مخطط اتصال الجهاز هو مبين في الشكل 3-1:
لأول مرة، وذلك باستخدام ويندوز 10 تقنيات عمليات الأساسية لوحة بطاقة TF صنع البرمجيات مع نظام ويندوز تقنيات عمليات الأساسية، ثم بطاقة TF في التوت فطيرة، يتم توصيل كابل الشبكة التوت الإرسال، لبدء النظام بعد السلطة. بعد بدء تشغيل النظام، يمكن ل Windows 10 تقنيات عمليات الأساسية لوحة البرنامج تلقائيا اكتشاف أجهزة ويندوز تقنيات عمليات داخل النطاق LAN، تنفيذ تمكين بوويرشيل عن بعد، وتطبيقات نشر إلى الجهاز وهلم جرا. ومع ذلك، تحتاج هذه العمليات إلى استخدام بشكل صحيح من قبل ويندوز تقنيات عمليات حساب المسؤول عن النظام وكلمة المرور للمصادقة.
في تنفيذ اتفاق Sirep، يستخدم testsirepsvc.dll كود يستمع خدمة TCP المقبس على منفذ 29817،29819،29820، وليس في رمز تلقت طلبات لرسو السفن الشيكات إذن المناسبة، مما أدى إلى غير مصرح بها اتفاق Sirep لأداء المهام التي تنفذ في القضية.
في testsirepsvc.dll، وتحقيق الطلبات البعيدة للحصول على إذن التحقق من اسم الدالة:
ControllerWSA :: IsConnectionAllowedبعد نظام التشغيل ويندوز تقنيات عمليات الأساسية، من خلال القرص U يمكن نسخها إلى محلل ملف DLL باستخدام IDA كود رأي المجمع لوظيفة وتنفيذها، الشكل 3-2، الشكل 3-3:
كيف يفسر رمز أعلاه المتكررة testsirepsvc.dll الالتحام الطلب على إذن المنطق فحص، ومنطق البرنامج يحدد فقط ترجع الدالة SOCKADDR_IN getsockname عنوان IP من بنية البيانات هي بطاقة الشبكة السلكية، وهذا هو كل من الشبكة السلكية التي testsirepsvc.dll طلبات وطلب شرعي، وهذه العملية لا تتطلب من المستخدم إدخال اسم المستخدم وكلمة المرور للمصادقة.
بعد أن يتلقى testsirepsvc.dll برنامج خدمة البيانات القيادة تنتقل HLK ستوديو، فإنه سيتم تحويل من خلال وظيفة SirepPipeServiceRoutine، في مقر القيادة الميدانية نوع وظيفة وزعت على أوامر مختلفة لأداء وظائف مختلفة، وأنواع مختلفة القيادة تنفيذ الدالة المقابلة لأسماء هي:
SirepGetSystemInformationFromDevice. SirepPutFileOnDevice. SirepGetFileFromDevice. SirepGetFileInformationFromDevice. SirepLaunchWithOutputتنفيذ SirepPipeServiceRoutine كلبشة وظيفة رمز التجميع عملية القيادة هو مبين في الشكل 3-4:
أربعة، POC إجراء التحقق من الصحة
تحليل المجموعة 2B التي كتبها التوت بي وويندوز تقنيات عمليات الأساسية (17763) (بورصة / اختبار صورة) بناء بيئة التحقق، جنبا إلى جنب مع التحليل السابق لPOC العام التحقق.
POC سبيل المثال إعدام تحميل هو مبين في الشكل 4-1، الشكل 4-2:
كما هو مبين في الشكل 4-1، وPOC في C: إنشاء ملف اسمه uploaded.txt من \ \ SYSTEM32 \ دليل Windows، ومحتوى الملف "مرحبا يندوز تقنيات عمليات!".
هو مبين في الشكل 4-2، بعد أن أظهرت POC في الشكل 4-1 تنفيذ الأمر، استخدم الأمر القط لعرض C: الدليل \ Windows \ SYSTEM32 \ من محتويات الملف من الملف المسمى uploaded.txt من.
تنفيذ مثال POC نظام تنفيذ الأوامر عن بعد هو مبين في الشكل 4-3:
هو مبين في الشكل 4-3، حقق POC تنفيذ الأمر البعيد، والقيادة المضيف تنفيذها في الجهاز المستهدف، وإرجاع نتيجة تنفيذ الأمر، أي "minwinpc"
ثبت، كشف SafeBreach الباحثين في مجال الأمن شركة POC قادرة على تحميل الملفات وتنفيذ أوامر النظام على بورصة / اختبار نسخة صورة من أنظمة ويندوز تقنيات عمليات الأساسية، هناك خطرا على السلامة المالية / اختبار النسخة جادا صورة من نظام ويندوز تقنيات عمليات الأساسية.
الخامسة، توصيات الحماية
ضعف المصادقة يمكن استخدامها دون إذن يمكن أن تخضع لتحميل الملفات وتنفيذ تنفيذ أوامر النظام على معدات نظام المتضررة وغيرها من العمليات ذات المخاطر العالية، والبرمجيات الخبيثة باستخدام هذا الضعف يمكن أن جهاز خطف بسهولة لتصبح شبكة غيبوبة، هاكر تبادر شبكة واحد من هجمات الأسلحة؛ كما يمكن التحكم في الجهاز من قبل قراصنة تصبح جزءا من التعدين، ولأن أجهزة تقنيات عمليات المستخدمة في الصناعات المختلفة، في حال أن تؤثر بشكل مباشر على سير العمل العادي للجهاز التحكم، مما يؤثر على الحياة الإنتاج؛ قراصنة يمكن أيضا أجهزة IOT كنقطة انطلاق لمزيد من غزو جهاز الشبكة حيث انتشار الفيروس، وسرقة المعلومات وتلف الشبكة وغيرها من السلوكيات الخطرة، ويشكل تهديدا خطيرا لشبكة المستهدفة.
على الرغم من أن هذا الضعف التحقق من صحة ينطبق فقط على النسخة صورة أسهم / اختبار نظام ويندوز تقنيات عمليات الأساسية، ولكن نظرا لبناء إصدارات مخصصة تحتاج إلى توقيع إصدارات مخصصة من نظام المرجع المصدق (CA) لشراء شهادة موقعة واستخدام الشهادة من الشركة المصنعة قد لأسباب التكلفة أو اعتبارات أخرى مباشرة المالية / اختبار صورة نسخة من ويندوز تقنيات عمليات الأساسية نظام إصدار المنتج، وهذا هو القول المالية / اختبار نسخة صورة من أجهزة ويندوز تقنيات عمليات الأساسية نظام تقنيات عمليات قد يكون وصول واسع النطاق لسلسلة التوريد. أجهزة تقنيات عمليات وترقيات للبرامج الثابتة أكثر صعوبة في تطبيق سيناريوهات الحقيقي، التغاضي عنها بسهولة.
أخذ هذه الظروف، من أجل فعالا في الحد من خطر الضعف الناجمة عن، في نفس الوقت تحسين سلامة المنتجات، والقدرة على تعزيز فعالية أمن الشبكة حيث أن المنتج هو لحماية قيمة العملاء، ونحن الجمع بين التحليل والتحقق من ضعف بالنظر ثلاث توصيات السلامة ، على النحو التالي:
التوصية 1: المنتج الفعلي على الإنترنت يجب أن تكون عملية بدقة وفقا لتطوير واختبار وإطلاق إجراءات ومعايير المتطلبات الرسمية، واستخدام صورة مخصصة بدلا المالية / اختبار صورة نسخة من نظام ويندوز تقنيات عمليات كنظام توزيع المنتج الفعلي يمكن تجنب هذا على نحو فعال أو آثار أخرى من الأسهم التي لم يتم كشفها / اختبار نسخة صورة من نقاط الضعف في نظام إنشاء.
التوصية الثانية: تعرض يتعلق استخدام الخدمة 29817،29819،29820 ثلاثة منافذ والخدمات المتعلقة بالامتثال اختبار فقط للبحث والتطوير المرحلة، وليس المنتج الفعلي تستخدم وظائف. في حالة غير قادر مؤقتا لرفع مستوى البرامج الثابتة، وتأكد من أن المنتج الفعلي لا يتوقف على وظيفة المنفذ المقابل لمنع آثار الاستخدام العادي للجهاز بعد تعطيل الموانئ، يمكنك مؤقتا ويندوز تقنيات عمليات الأساسية نظام جدار الحماية اختبار التوافق يكون في خدمة 29817،29819،29820 استخدام سدت ثلاثة منافذ، ويمكن تجنب مؤقتا تأثير الكشف عن هذه الثغرة الأمنية التي تم إنشاؤها. ولكن لا تزال تحتاج إلى ترقية نقاط الضعف التصحيح للبرامج الثابتة في أقرب وقت ممكن، من أجل تجنب بشكل فعال تأثير هذا أو لم يتم كشفها المالية / اختبار نسخة صورة أخرى من نقاط الضعف في نظام ولدت.
الأوامر في نظام ويندوز تقنيات عمليات الأساسية منعت مؤقتا الميناء هي كما يلي:
التوصية الثالثة: الخصائص التقنية وظائف تقنيات عمليات تنفذ من قبل الجهاز وبيئة العمل الفعلية، يمكن للجهاز الوصول إلى قائمة IP مفصل تمشيط، وقائمة من ميناء الوصول نوع البروتوكول، نوع البروتوكول، والجهاز يمكن توصيل نشطة ظاهريا، قائمة الميناء، وقائمة IP ، جنبا إلى جنب مع نتائج استخدام تمشيط منتجات جدار حماية الحدود جدار الحماية تكوين المنتج أو جهاز محددة من المناظرة عناوين IP في اتجاهين، والموانئ والبروتوكولات القائمة البيضاء الوصول إلى قائمة من القواعد والأمن وصول يمكن تحقيق أقصى قدر من الحماية من أجهزة تقنيات عمليات. على الرغم من أن هذا الأسلوب يمكن بفعالية ضمان الوصول إلى الأجهزة تقنيات عمليات آمنة، والحد من ضعف يمكن استغلالها، ولكنه لم يكن القضاء عليها خطر من نقاط الضعف، وذلك في أقرب وقت ممكن لرفع مستوى نقاط الضعف التصحيح للبرامج الثابتة، وذلك لتجنب هذا أو لم يتم كشفها المالية / اختبار نسخة صورة أخرى للنظام تأثير الضعف ولدت.
الوصلات المرجعية
SafeBreach: https://safebreach.com/News-Post/SafeBreach-Labs-Discloses-New-Microsoft-Windows-IoT-Core-Weakness-and-Exploit
ويندوز تقنيات عمليات: https://docs.microsoft.com/en-us/windows/iot-core/windows-iot-core
HLK ستوديو: https://docs.microsoft.com/en-us/windows-hardware/test/hlk/user/hlk-studio
بروتوكول Sirep والمالية صورة: https://github.com/SafeBreach-Labs/SirepRAT/blob/master/docs/SirepRAT_RCE_as_SYSTEM_on_Windows_IoT_Core_White_Paper.pdf
ويندوز 10 تقنيات عمليات الأساسية وحة: https://docs.microsoft.com/en-us/windows/iot-core/connect-your-device/iotdashboard
POC: https://github.com/SafeBreach-Labs/SirepRAT
* المؤلف: antiylab، وأعيد طبعه من FreeBuf.COM
