اختطاف إعدادات حساب المستخدم تتيح الحصول على حقوق مدير في أجهزة كمبيوتر”ويندوز”


RID Hijacking” تقنية كشف عنها سيباستيان كاسترو باحث أمن في شركة أمن المعلومات CSL ، تستهدف تقنية الاختطاف هذه احدى اعدادات حساب المستخدم user account في نظام التشغيل “ويندوز” المعروف باسم “Relative Identifier ” RID

الـRID هو رمز مضاف في نهاية مُعرِفات أمان الحسابٍSecurity Identifier (SID). مُعرِفات الأمان هي كناية عن ابجديه رقميه فريدة وثابته، تم تعيينها من قبل وِحده تحكم تُعرِّف كل نظام أو مستخدم أو مجموعه مستخدمين في شبكه أو جهاز.

تتوفر عدة مُعرِفاتRelative Identifier -RID ولكن الأكثر شيوعاً هي 501 لـ حساب الضيف العادي و 500 لحسابات المسؤولAdministrator .

اكتشف سيباستيان كاسترو، خلال بحثه في انشاء مفاتيح التسجيل register Keys، التي تقوم بتخزين معلومات لكل حساب ويندوز، مع بيدرو غارسيا المدير والرئيس التنفيذي لشركةأمن المعلومات CSL، إمكانية تعديل RID المقترنة مع حساب معين ومنحها RID مختلفا لمجموعه من الحسابات.

هذه التقنية لا تسمح للمهاجمين باختراق أو تلويث جهاز كمبيوتر عن بعد، إلا إذا تُرِك الكمبيوتر متصلا بالإنترنت بدون كلمة مرور.

لكن في الحالات التي يكون فيها قرصان ما قد تمكن من اختراق النظام، من خلال البرمجيات الخبيثة أو عن طريق اختراق حساب لأن كلمة المرور ضعيفة، يمكن عندئذ للقرصان المخترق،منح أذونات إدارية لحسابات ذات مستوى منخفض من المسؤولية، وتثبيت باب خلفي يتيح له الوصول الكامل إلى النظام على جهاز كمبيوتر يعمل بنظام التشغيل “ويندوز”.

بما أن مفاتيح التسجيل Register Keys عند بدء تشغيل النظام تبقى ثابتة ولا تتغير، فكل التغيرات التي تعريف المستخدم Relative Identifier، الخاص بحساب المستخدم تبقى ثابتة ولا تتغير حتى يتم تصحيحها.

قام سيباستيان كاسترو باختبار هذه التقنية على مختلف إصدارات Windows من XP حتى Windows 10 و أيضا أنظمة التشغيل Windows Server 2003 حتى Windows Server 2016. علما أن الإصدارات الأقدم قد تكون ضعيفة، من الناحية النظرية على الأقل.

يقول سيباستيان كاسترو ” أنه ليس من السهل اكتشاف متى يتم استغلال هذه التقنية،  إذ  يمكن نشر هذا الهجوم  باستخدام موارد نظام التشغيل دون إطلاق أي تنبيه أو إشعار”.

يوضح خبير أمن المعلومات أنه “من الممكن معرفة ما إذا كان الكمبيوتر قد أخترق بواسطة RID من خلال التحقق من سجل ” ويندوز” من خلال التحقق من مدير أمن الحسابات.Security Account Manager .

قام باحث الأمن الكولومبي بإنشاء ونشر برمجية Metasploit Framework تقوم بتنفيذ الهجوم تلقائيًا لأغراض اختبار الاختراق أو.Pen test

يقول سيباستيان كاستروإنه” ليس على علم حتى الآن بوجود أي برامج خبيثة تستخدم أسلوب اختطاف تعريف المستخدم “RID Hijacking” .

الذي يثير الدهشة أن هذه التقنية كانت قد شرحت بشكل مفصل لأول مرة في ديسمبر 2017. لم يثر الموضوع اهتمام وسائل الإعلام. والمستغرب أيضا أنه حتى الآن لم يتم استخدامه في حملات البرامج الضارة.وحتى الآن لم تقم شركة مايكروسوفت بأي تعليق على هذا الموضوع.

 نايلة الصليبي

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s