تخطي إلى المحتوى الرئيسي
إي ميل

اختطاف إعدادات حساب المستخدم تتيح الحصول على حقوق مدير في أجهزة كمبيوتر"ويندوز"

سمعي
نايلة الصليبي - سيباستيان كاسترو

تنقل نايلة الصليبي في "إي ميل" مونت كارلو الدولية،نتيجة اختبار باحث أمن كولومبي ، سيباستيان كاسترو، لوسيلة اختطاف لإحدى إعدادات حساب المستخدم تتيح الحصول على حقوق مدير -أدمين -على أجهزة الكمبيوتر التي تعمل بنظام التشغيل "ويندوز".

إعلان

"RID Hijacking" تقنية كشف عنها سيباستيان كاسترو باحث أمن في شركة أمن المعلومات CSL ، تستهدف تقنية الاختطاف هذه احدى اعدادات حساب المستخدم user account في نظام التشغيل "ويندوز" المعروف باسم "Relative Identifier " RID

الـRID هو رمز مضاف في نهاية مُعرِفات أمان الحسابٍSecurity Identifier (SID). مُعرِفات الأمان هي كناية عن ابجديه رقميه فريدة وثابته، تم تعيينها من قبل وِحده تحكم تُعرِّف كل نظام أو مستخدم أو مجموعه مستخدمين في شبكه أو جهاز.

تتوفر عدة مُعرِفاتRelative Identifier -RID ولكن الأكثر شيوعاً هي 501 لـ حساب الضيف العادي و 500 لحسابات المسؤولAdministrator .

اكتشف سيباستيان كاسترو، خلال بحثه في انشاء مفاتيح التسجيل register Keys، التي تقوم بتخزين معلومات لكل حساب ويندوز، مع بيدرو غارسيا المدير والرئيس التنفيذي لشركة أمن المعلومات CSL، إمكانية تعديل RID المقترنة مع حساب معين ومنحها RID مختلفا لمجموعه من الحسابات.

هذه التقنية لا تسمح للمهاجمين باختراق أو تلويث جهاز كمبيوتر عن بعد، إلا إذا تُرِك الكمبيوتر متصلا بالإنترنت بدون كلمة مرور.

لكن في الحالات التي يكون فيها قرصان ما قد تمكن من اختراق النظام، من خلال البرمجيات الخبيثة أو عن طريق اختراق حساب لأن كلمة المرور ضعيفة، يمكن عندئذ للقرصان المخترق، منح أذونات إدارية لحسابات ذات مستوى منخفض من المسؤولية، وتثبيت باب خلفي يتيح له الوصول الكامل إلى النظام على جهاز كمبيوتر يعمل بنظام التشغيل "ويندوز".

بما أن مفاتيح التسجيل Register Keys عند بدء تشغيل النظام تبقى ثابتة ولا تتغير، فكل التغيرات التي تعريف المستخدم Relative Identifier، الخاص بحساب المستخدم تبقى ثابتة ولا تتغير حتى يتم تصحيحها.

قام سيباستيان كاسترو باختبار هذه التقنية على مختلف إصدارات Windows من XP حتى Windows 10 و أيضا أنظمة التشغيل Windows Server 2003 حتى Windows Server 2016. علما أن الإصدارات الأقدم قد تكون ضعيفة، من الناحية النظرية على الأقل.

يقول سيباستيان كاسترو " أنه ليس من السهل اكتشاف متى يتم استغلال هذه التقنية،  إذ  يمكن نشر هذا الهجوم  باستخدام موارد نظام التشغيل دون إطلاق أي تنبيه أو إشعار".

يوضح خبير أمن المعلومات أنه "من الممكن معرفة ما إذا كان الكمبيوتر قد أخترق بواسطة RID من خلال التحقق من سجل " ويندوز" من خلال التحقق من مدير أمن الحسابات. Security Account Manager .

قام باحث الأمن الكولومبي بإنشاء ونشر برمجية Metasploit Framework تقوم بتنفيذ الهجوم تلقائيًا لأغراض اختبار الاختراق أو.Pen test

يقول سيباستيان كاستروإنه" ليس على علم حتى الآن بوجود أي برامج خبيثة تستخدم أسلوب اختطاف تعريف المستخدم "RID Hijacking" .

الذي يثير الدهشة أن هذه التقنية كانت قد شرحت بشكل مفصل لأول مرة في ديسمبر 2017. لم يثر الموضوع اهتمام وسائل الإعلام. والمستغرب أيضا أنه حتى الآن لم يتم استخدامه في حملات البرامج الضارة.وحتى الآن لم تقم شركة مايكروسوفت بأي تعليق على هذا الموضوع.

يمكنكم التواصل معي عبر صفحة برنامج "إي ميل" مونت كارلو الدولية على فيسبوك، إنستغراموتويتر @salibi وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي

هذه الصفحة غير متوفرة

يبدو أن خطأ قد وقع من قبلنا يمنع الوصول إلى الصفحة. نعمل على حل هذه المشكلة في أقرب وقت ممكن