ثغرات أمنية في نظام ويندوز تسمح بتصعيد الامتيازات عبر برامج تشغيل النواة والأنابيب المسماة

 

 

يركز الأمن بشكل متزايد على هجمات تصعيد الامتيازات عبر سطحين رئيسيين للهجوم في نظام ويندوز: برامج تشغيل النواة والقنوات المسماة.

تستغل هذه الأساليب نقاط ضعف جوهرية في حدود الثقة بين وضع المستخدم ووضع النواة، مما يُمكّن المهاجمين من تصعيد امتيازاتهم من امتيازات المستخدم العادية إلى صلاحيات النظام. 

 تُشكل برامج تشغيل النواة سطح هجوم LPE كبيرًا بسبب عدم كفاية التحقق من صحة المدخلات في إجراءات معالجة IOCTL (التحكم في الإدخال/الإخراج).

 في برامج التشغيل القائمة على تقنية WDM والتي تستخدم وضع METHOD_BUFFERED، يقوم مدير الإدخال/الإخراج بتخصيص مخازن مؤقتة في نواة النظام. مع ذلك، يفشل في التحقق من صحة البيانات المُدخلة من المستخدم قبل معالجتها في النواة.

يُنشئ هذا ثغرة أمنية خطيرة تُمكّن المهاجمين من تصميم طلبات IOCTL خبيثة تحتوي على قيم مؤشرات وأطوال تُفسّرها النواة ضمن نطاق عناوينها.

تتضمن سلسلة الاستغلال ثلاث مراحل رئيسية:

 وصف المرحلة
1. اكتشاف الأجهزة: تحديد أسماء الأجهزة المكشوفة التي يمكن الوصول إليها من وضع المستخدم.
2. تحليل أوامر الإدخال/الإخراج: تحليل إجراءات إرسال أوامر الإدخال/الإخراج باستخدام أدوات الهندسة العكسية مثل IDA Pro.
3. تحديد الثغرات الأمنية: تحديد عيوب التحقق من صحة المدخلات التي تُتيح استغلالها.

 من خلال ربط مدخلات المستخدم مباشرةً بوظائف نواة خطيرة مثل MmMapIoSpace، يُنشئ المهاجمون صلاحيات قراءة/كتابة عشوائية.

تُمكّن هذه الصلاحيات من شنّ هجمات سرقة الرموز، حيث يتم قراءة رمز عملية النظام وكتابته في بنية EPROCESS الخاصة بالعملية الحالية، ما يُتيح رفع مستوى الصلاحيات.

 ثغرات أمنية في الأنابيب المسماة

تُشكل الأنابيب المسماة، الشائعة الاستخدام للتواصل بين العمليات بواسطة خدمات النظام ذات الصلاحيات العالية، ثغرة أمنية خطيرة.

على عكس برامج تشغيل النواة، تعمل الأنابيب المسماة عبر بروتوكولات تعتمد على الرسائل بدلاً من الوصول المباشر إلى الذاكرة، ومع ذلك، غالباً ما تثق بها تطبيقات الخدمات ضمنياً.

تعتمد منهجية الهجوم على تحديد قنوات الاتصال المسماة المملوكة للنظام والتي تتميز بقوائم تحكم وصول (ACLs) متساهلة للغاية تسمح للجميع بالوصول للقراءة والكتابة، ثم إجراء هندسة عكسية لبروتوكول القناة من خلال التحليل الثابت.

وقد اكتشف حالاتٍ تعالج فيها الخدمات الطلبات دون إجراء فحوصات كافية للتحقق من الصلاحيات.

 يُتيح ذلك للمستخدمين العاديين تنفيذ وظائف إدارية، مثل تعديلات سجل HKLM، نيابةً عن الخدمة.

ومن الأمثلة البارزة على ذلك، برنامج مكافحة فيروسات تجاري، حيث مكّنت قناة اتصال مُسماة ضعيفة الحماية من التلاعب غير المصرح به بسجل النظام.

 

يسمح هذا للمهاجمين بتكوين خيارات تنفيذ ملفات الصور (IFEO) لتنفيذ تعليمات برمجية عشوائية ضمن سياق النظام.

ينبغي على فرق الأمن مراجعة برامج تشغيل نواة النظام التابعة لجهات خارجية للتأكد من عدم وجود صلاحيات IOCTL مفرطة، والتحقق من صحة جميع مدخلات المستخدم قبل معالجة النواة.

يجب على تطبيقات الأنابيب المسماة فرض فحوصات صريحة للصلاحيات على العمليات الحساسة، وتطبيق تحقق صارم من البروتوكول.

 على المؤسسات حصر الأنابيب المسماة المكشوفة وتعطيل تلك التي تحتوي على قوائم تحكم بالوصول (ACLs) متساهلة للغاية.

 

مع استمرار بيئات ويندوز في جذب المهاجمين المتطورين، أصبح فهم هذه الثغرات في رفع الامتيازات أمراً ضرورياً للدفاع عن أنظمة المؤسسات ضد هجمات رفع الامتيازات المحلية.