العمل بصلاحيات مدير النّظام: دعوة للإختراق

الغالبيّة الساحقة من الاختراقات التي تحصل اليوم، سببها هو: العمل بصلاحيّات مدير. هذا ما أشارت إليه دراسة نشرت مؤخّراً. ولكن الأمر لا يحتاج لدراسة لاثباته. فأغلب الاختراقات التي تحدث تتمّ بالتّرتيب التّالي:

1- المستخدم يقوم بتحميل برنامج يحتوي على تروجان من الانترنت.
2- التروجان ينسخ على SYSTEM32
3- التّنفيذ.

هذه الطريقة، تنجح فقط في حالة كون المستخدم مدير على النّظام. لكون التروجان يقوم بنسخ نفسه على SYSTEM32 بصلاحيات المدير. إذا لم يكن هناك صلاحيّات مدير، فإن الغالبيّة الساحقة من هذه البرمجيّات ستفشل بكل بساطة.

الحل إذاً هو بعدم تشغيل البرامج بصلاحيّات المدير. هذا الأمر في ويندوز فيستا وويندوز 7 سهل من خلال ال UAC. فالصّلاحيات تعتبر محدودة حتى لو كنت مدير على النّظام. الشكل -1- (طبعاً هذا لا يعني أمان 100% لان هناك طرق لتجاوز ذلك).

البرامج لا تعمل بصلاحيّات مدير بشكل افتراضي

هذا الأمر ليس سهلاً في حالة استخدام ويندوز XP. فالكثير من البرامج لا تعمل بدون صلاحيّات المدير. لكن باستخدام برامج مثل StripMyRights هذا الأمر يصبح أسهل.

هذه البرمجيّات، تقوم بإنشاء token بصلاحيّات محدودة، ومن ثمّ تشغيل البرنامج المراد، باستخدام هذه الصلاحيّات.

StripMyRights يأتي بملفان لإضافة الصّلاحيّات المحدودة لكلٍّ من، انترنت اكسبلورر، و Outlook. ولكن يمكن تعديل هذه الملفات بحيث يمكن إضافة برامج أخرى مثل Adobe Acrobat و Microsoft Office Documents.

هذا مثال للملف الخاص بتحديد صلاحيّات Internet Explorer

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe]
"Debugger"="StripMyRights.exe /D /L N"

يمكن عمل نسخة أخرى من الملف ثمّ تعديل هذه النّسخة، لتحدّد صلاحيّات Adobe Acrobat. هكذا

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\acrord32.exe]
"Debugger"="StripMyRights.exe /D /L N"
نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (10)

  1. يقول KING SABRI:

    بارك الله فيك بشار ,,

    بصراحة الموضوع حلو و لازم أطبقه عندي في البيت و في العمل خاصة أنا تارك استخدام الويندوز من فترة كبيرة ولا أستخدمه إلا في أقل القليل

    زادك الله يا دكتور

    • يقول بشار:

      وفيك بارك الله صبري.

      أي موضوع في صلاحيّات حلو. 🙂 النّاس ترغب أن يكون لديها صلاحيّات مدير، حتي لو لم يكن لديهم حاجة له. اختراق، لا اختراق ليس بمشكلة المهمّ الصّلاحيّات.

  2. يقول GeeKZ:

    تسلم استاذ بشار فعلا موضوع رهيب سلمت اناملك

  3. يقول Hit-Man:

    بسم الله الرحمن الرحيم

    أخي موضوع قمة في الروعة لكنني لم افهم جيدا هده العبارة . هل من الممكن أن تعيد شرحها.؟
    العبارة هي :”هذه البرمجيّات، تقوم* بإنشاء token * بصلاحيّات محدودة، ومن ثمّ تشغيل البرنامج المراد، باستخدام هذه الصلاحيّات. ”

    و شكرا لك أخي بشار على مواضيعك التي هي في الحقيقة قمة في الروعة
    و السلام عليكم

    • يقول بشار:

      حيّاك الله أخي Hit-Man.

      token يمكن تعريف على أنّه تصريح يعطى للمستخدم عند قيامه بتسجيل دخول في ويندوز.

      التصريح المحدود أو ال restricted token هو عبارة عن تصريح خاص، يمثل جزء فقط من الصلاحيّات التي تعطى للمستخدم وليس كل الصّلاحيّات. باقي الصّلاحيّات يتمّ إزالتها او منع المستخدم من استخدامها. هذه ميزة موجودة في أنظمة ويندوز بدأً من ويندوز 2000. ولكن ظهرت للمستخدمين بشكل أكبر بدءاً من ويندوز فسيتا وال UAC.

      في ويندوز فيستا عندما يقوم مدير النّظام بتسجيل الدخول، يتمّ إنشاء تصريحان. الأول، التصريح العادي والذي يحتوي على كافّة الصلاحيّات المتوفّرة لمدير النّظام. والثاني، هو التصريح المحدود.

      أغلب البرامج تبدأ العمل باستخدام التّصريح المحدود. البرامج التي تحتاج صلاحيّات اعلى كي تعمل بشكل صحيح، يمكن استخدام التصريح العادي لتشغيلها. (ولكن هذا يحتاج حذر من قبل المستخدم حتى لا يتسبب في مشاكل امنيّة لنفسه.)

      هنا ستجد نبذة حول هذا الموضوع إذا رغبت بذلك:
      http://msdn.microsoft.com/en-us/library/aa379316%28VS.85%29.aspx
      كما انصحك بكتاب ويندوز من الدّاخل فهو يتناول هذا الموضوع بالتّفصيل
      http://www.amazon.com/Windows%C2%AE-Internals-Including-Windows-PRO-Developer/dp/0735625301/ref=sr_1_1?ie=UTF8&s=books&qid=1270479541&sr=8-1

  4. يقول Str1k3r.r1z:

    الله يعطيك العافية اخي بشار .

  5. يقول oussama larhmich:

    السلام عليكم
    فعلا عدم الاشتغال بالرووت يكون افضل للحماية و للثغرات او الأخطاء العفوية
    شكرا على الموضوع الرائع

أكتب تعليق