نقص در گروپ پالیسی ویندوز به هکران دسترسی ادمین میدهد

آسیب پذیری اخیر مایکروسافت در بخش گروپ پالیسی منجر به آلوده شدن سیستم ها میشود

مایکروسافت اخیرا یک آسیب پذیری در تمامی نسخه های ویندوز را برطرف کرده است که به هکران اجازه میدهد تا از قابلیت گروپ پالیسی سو استفاده کنند و کنترل سیستم را برعهده بگیرند. این آسیب پذیری تمامی نسخه های ویندوز را از نسخه ی 2008 تا الان شامل میشود.

دسترسی ادمین ویندوز به صورت ریموت میتواند تمامی دستگاه های ویندوز را از طریق گروپ پالیسی مدیریت کند. این قابلیت به مدیران اجازه میدهد تا یک سیاست گروهی برای سازمان هایشان تعریف کنند و به تمامی ویندوز های شبکه اعمال کنند.

این پالیسی ها به یک مدیر این امکان را میدهند تا چگونگی کنترل یک سیستم مثل غیرفعال کردن تنظیمات در نرم افزار ها، ممانعت از دسترسی به برنامه ها جهت اجرا، فعال و غیر فعال کردن قابلیت های ویندوز و حتی اجازه عوض کردن صفحه ی پس زمینه را میدهد.

برای چک کردن پالیسی گروپ های جدید، قابلیت Group Policy client در سرویس های ویندوز در نظر گرفته میشود که به صورت روتین به دامین مجموعه وصل میشود تا تنظیمات و به روز رسانی ها را دریافت کند.

اگر پالیسی خاصی پیدا شود، به سیستم های محلی اعمال میشوند تا احتمالا همانطور که انتظار میرود ثبت شوند.

برای اعمال صحیح این سیاست ها، سرویس gpsvc تنظیم شده است تا دسترسی System اجرا شود که تنظیمات یکسان را درست همانند حساب کاربری ادمین اعمال کند.

سرویس گروپ پالیسی کلاینت به مهاجمان اجازه دسترسی ادمین میدهد

بخشی از پچ به روز رسانی روز سه شنبه، مایکروسافت مشکل CVE-2020-1317 را در بخش گروپ پالیسی برطرف کرده است که به کاربران محلی اجازه میداد هر فرمانی را با دسترسی ادمین صادر کنند.

این آسیب پذیری به کاربر غیرمجاز اجازه میدهد تا در محیط دامنه ی شبکه یک فایل مخرب اجرا کند تا سیستم ها را آلوده سازند. سخت افزار امنیتی را دور بزنند و صدمات بسیاری به شبکه ی سازمان بزنند. این آسیب پذیری میتواند به نسخه های ویندوز سرور از 2008 و به بالا هم صدمه و آسیب بزند.

زمان اجرای یک پالیسی در شبکه که به تمام دستگاه های یک سازمان اعمال میشود، ویندوز این پالیسی جدید را در یک پوشه ی زیر مجموعه در مسیر localappdate برای هر کاربری تعریف میکند.

به طور مثال اگر پالیسی های یک سازمان مربوط به دستگاه های پرینتر باشد به شکل ذیل ذخیره میشود:
 

C:\Users\[user]\AppData\Local\Microsoft\Group Policy\History{szGPOName}\USER-SID\Preferences\Printers\Printers.xml

داشتن دسترسی کامل به یک فایل که میبایست از طریق یک فایل پردازش در سیستم اجرا شود نیز توسط شرک سایبر آرک مشخص شد، به این صورت که این آلودگی یک لینک نمادین جهت ارتباط فایل با کامند RPC میسازد و سپس یک فایل DLLرا اجرا میکند.

از آنجایی که سرویس گروپ پالیسی کلاینت با دسترسی های سیستمی اجرا میشود، زمانی که سعی میکنند این سیاست ها در قالب یک فایل اجرا کنند، به جای آن فایل DLL آلوده را با دسترسی های ادمین اجرا میکنند.

حتی با وجود ساختن کاربران در حالت استاندارد و نه ادمین، مهاجمان باز هم میتوانند همچین فایلی را در مسیر های مختلف بسازند و اجرا کنند.

این نقص بسیار مهمی است که بایستی در تمامی نسخه های ویندوز برطرف شود. به روز رسانی ویندوز این نقص را بر طرف میکند.

منبع: www.bleepingcomputer.com