آسیب پذیری MS15-011
هنگام تست نفوذ و ارزیابی امنیتی شبکه های داخلی یک سازمان احتمال وجود آسیب پذیری MS15-011 می باشد، این آسیب پذیری که در سال 2015 شناخته شد و ماکروسافت وصله های امنیتی مورد نیاز برای رفع این آسیب پذیری ارائه نموده است. این آسیب پذیری مربوط به نوع عملکرد سرویس Group Policy در رابطه با مدیریت کردن داده های Policy می باشد که به مهاجم اجازه کنترل سیستم از سمت کاربر را میدهد.
روش حمله
یک مهاجم با هدایت کردن یک کاربر سیستم هنگام اتصال یک دامنه سیستم به کنترل کننده دامنه میتواند از این آسیب پذیری بهره برداری کند.
هدایت کاربر به شبکه تحت کنترل مهاجم
همانطور که در عکس مشاهده میشود، در این سناریو کاربر سیستم با آیپی 192.168.0.14 یک درخواست برای گرفتن فایل با مسیر \10.0.0.100\Share\Login.bat به سرور با آیپی 10.0.100 از طریق سوییچ میفرستد و مهاجم با استفاده از حمله جعل 1ARP کلاینت 2SMB کاربر سیستم به سرور فیک SMB ای که مهاجم راه اندازی کرده ریدایرکت میکند و سپس فایل بدافزار که مهاجم در سرور جعل ای که قرار داده است اجرا میشود.
بطور کلی کاربر سیستم با درخواست فایل و هدایت شدن به سرور ناامن به صورت ناخواسته فایل بدافزار را اجرا میکند از این رو مهاجم میتواند کد دلخواه خود را اجرا کند و کنترل سیستم قربانی را در دست بگیرد.
این آسیب پذیری از نظر خطرناک پذیر بودن اهمیت بالایی دارد زیرا به مهاجم اجرای کد از راه دور می دهد، در شبکه های بزرگ یک سازمان اگر یک کاربر سیستم آلوده شود و به دام این حمله بیافتد منجر به مخاطره افتادن کل شبکه یک سازمان می شود.
_________________
1-Address Resolution Protocol
2-Server Message Block
