شماره: IRCNE2013112026
تاريخ:09/09/92
مهاجمان از يك آسيب پذيري جديد و اصلاح نشده در ويندوز XP و سرور 2003 سوء استفاده مي كنند تا بتوانند كدهاي دلخواه را با بالاترين حق دسترسي اجرا نمايند. اين آسيب پذيري در NDProxy.sys قرار دارد.
شركت مايكروسافت در راهنمايي امنيتي كه روز چهارشنبه منتشر كرد اعلام كرد كه مهاجمي كه بتواند با موفقيت از اين آسيب پذيري سوء استفاده نمايد مي تواند كد دلخواه را در حالت هسته اجرا نمايد. سپس مي تواند برنامه هاي دلخواه را نصب نمايد، داده ها را تغيير داده، مشاهده نمايد يا حذف كند و هم چنين مي تواند يك حساب كاربري جديد با حقوق كامل مديريتي ايجاد نمايد.
اين رخنه يك آسيب پذيري اجراي كد از راه دور نمي باشد بلكه يك آسيب پذيري Eop يا گرفتن بالاترين حق دسترسي مي باشد.
با توجه به گزارشات مايكروسافت، در حال حاضر از اين آسيب پذيري در حملات هدفمند و محدود استفاده مي شود و نسخه هاي جديدتر از ويندوز XP و سرور 2003 تحت تاثير اين آسيب پذيري قرار ندارند.
شركت مايكروسافت يك راه حل موقت را ارائه كرده است كه شامل غيرفعال ساختن NDProxy.sys مي باشد اما اين مساله باعث مي شود تا خدمات خاصي كه وابسته به TAPI هستند مانند سرويس دسترسي راه دور، تلفن شبكه ايي و شبكه خصوصي مجازي كار نكنند.
مهاجمان با سوء استفاده از اين آسيب پذيري، كامپيوترهايي را مورد هدف قرار مي دهند كه در حال اجراي Adobe Reader بر روي ويندوز XP بسته سرويس 3 مي باشند اما كاربراني كه از آخرين نسخه هاي Adobe Reader استفاده مي كنند در امان هستند.
با توجه به يافته هاي محققان FireEye، اگر سوء استفاده با موفقيت انجام گيرد، فايل اجرايي در دايركتوري موقت ويندوز كپي شده و اجرا مي شود.
- 2