اصلاح آسیب‌پذیری‌های سرویس به‌روزرسانی لنوو

   
نام نویسنده:
|
دسته بندی:
|
به گزارشasis: لنوو دو آسیب‌پذیری جدی را وصله نموده که نفوذگران می‌توانستند از آن‌ها برای حملات هدف‌مند، و یا حدس آسان گذرواژه‌های مدیریتی متعلق به دستگاه‌های مورد نفوذ واقع‌شده استفاده نمایند، نفوذگران همچنین قادر بودند به واسطه‌ی این شکاف‌ها امتیازهای دسترسی را برای کاربران سامانه‌های تحت ویندوز تشدید نمایند.

این آسیب‌پذیری‌ها هفته‌ی گذشته توسط تولیدکننده‌ی مربوطه اصلاح شده‌اند.هر دو آسیب‌پذیری در نسخه‌ی ۵.۰۷.۰۰۱۳ از سامانه‌ی به‌روزرسانی لنوو کشف شده‌اند، سامانه‌ای که به‌روزرسانی‌ها را از پشتیبان لنوو واکشی می‌کند.نفوذگر می‌تواند به وسیله‌ی ضعفی در الگوریتم تولید گذرواژه‌ امتیازهای کاربری را دوچندان نماید، وی این کار را با حدس شناسه و گذرواژه‌ی یک حساب موقت مدیریتی به انجام می‌رساند.

حمله‌ی احتمالی تنها در صورتی با موفقیت روبه‌رو خواهد شد که اولین الگوریتم قوی تولید گذرواژه با شکست مواجه شود. سپس System Update از الگوریتم آسان‌تر و تجدیدپذیری استفاده می‌نماید که ممکن است از سوی نفوذگر مورد حمله واقع شود، نفوذگری که فقط می‌بایست زمان تولید گذرواژه را بداند، سپس همان دنباله‌ی الگوریتم تولید را اجرا نماید.

این نفوذگر تنها باید از زمان ایجاد حساب کاربری اطلاع داشته باشد. این موضوع را شاید بتوان از پوشه‌ی Users متوجه شد. حمله‌ی جست‌وجوی فراگیر و ایجاد مجموعه‌ای از گذرواژه‌ها در عرض چند ثانیه هم کار سختی نخواهد بود.از آن‌جایی که این حساب کاربری تا زمان بسته‌شدن برنامه‌ی System Updates لنوو بسته نمی‌شود، نفوذگر می‌تواند این برنامه را به اجرا درآورد و تمام وقت خود را صرف ایجاد مجدد گذرواژه‌ی صحیح نماید.

آسیب‌پذیری دوم هم در سامانه‌ی به‌روزرسانی لنوو پیدا شده است، این نقص به کاربرانی با حداقل امتیاز اجازه می‌دهد تا به‌روزرسانی‌های سامانه را به انجام برسانند. سامانه یک حساب موقت مدیریتی را می‌سازد و یک برنامه‌ی کاربردی رابط گرافیکی کاربری (GUI) را به نام Tvsukernel.exe مقداردهی اولیه می‌نماید. این حساب کاربری موقت با بسته‌شدن برنامه‌ی کاربردی پاک می‌شود، اما برنامه‌ی GUI همچنان با پشتیبان برخط در تماس باقی می‌ماند. نفوذگر می‌تواند از این موضوع برای تشدید امتیازها سوءاستفاده نماید.

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید