[English] ابزارهای Nirsoft برای بسیاری از کاربران ویندوز به خوبی شناخته شده است. که کمتر شناخته شده است: این ابزارها در برابر تصاحب DLL ها ضعیف هستند و از این رو باید از آنها جلوگیری کرد.
ابزار Nirsoft چیست؟
Nirsoft Tools مجموعه ای از برنامه های مفید ویندوز برای کارهای مختلف است که بصورت رایگان در دسترس است. در پشت ابزارها ، Nir Sofer ، برنامه نویس قرار دارد که خود را به عنوان "یک برنامه نویس با تجربه و دارای دانش گسترده از C ++ ، .NET Framework ، ویندوز API و مهندسی معکوس از قالبهای باینری بدون سند و الگوریتم های رمزگذاری" توصیف می کند. ابزار را می توان در nirsoft.net یافت. من خودم بعضی اوقات از مجموعه ابزارها از یک یا برنامه دیگر استفاده می کردم. همه ابزارها به عنوان برنامه های قابل حمل طراحی شده اند و نیازی به نصب ندارند.
آسیب پذیری در ضبط DLL ها
این در اواخر ژانویه سال 2020 بود ، هنگامی که من در مقاله AdvancedRun 1.15 در مقالات AdvancedRun 1.15 در همکارانم از officemodder.de بودم ، اکنون نیز از فهرست زمینه – ورودی ظاهر شد. این یک ابزار Nirsoft است که می توانید از آن برای اجرای سایر برنامه ها با مجوزهای گسترده استفاده کنید (مدیر ، سیستم و غیره). این در واقع یک چیز عالی است و چون ابزارها رایگان هستند ، ایده ارائه کلیه مطالب در وبلاگ بود.
Impulse برای تست امنیت ابزار
اما با یک ضربه ناگهانی ، تصمیم گرفتم که ابزار بارگیری شده را بر روی زمینه آزمایش خود اجرا کنم تا از آسیب پذیری های امنیتی پرده بروم. این به این دلیل است که این ابزار ، که پس از اجرا امتیازات سرپرستی را فرا می گیرد ، نباید هیچ گونه آسیب پذیری در رابطه با تصاحب DLL داشته باشد.
این همه هوشیار است. با تشکر از Advanced Run ، بلافاصله هنگام فراخوانی آن ، ده ها هشدار دریافت کردم (شکل بالا را ببینید) زیرا این ابزار سعی دارد DLL هایی مانند dwmapi.dll uxtheme.dll را به روز کند. dll و غیره از فروشگاه خود. اما همچنین هنگام تلاش برای اجرای برنامه دیگری مانند Running Regedit.exe با حقوق بالا با استفاده از دکمه Run گفتگوهای هشدار نشان داده شده در بالا را اجرا می کند (اگرچه من بررسی نکرده ام که این ماژول ها مجوز را به ارث برده اند – اعلان UAC ظاهر می شود بعد).
تخت تست توسط استفان كنتاك تهیه شده است ، كه به این موارد امنیتی می پردازد. می توانید پرونده Forward.cab را از وب سایت بارگیری کرده و در یک پوشه استخراج کنید. یک پرونده Sentinel.exe نیز وجود دارد که به این پوشه نیز می رود.
اگر اسکنر آنتی ویروس هنگام بازدید از وب سایت Kanthak راه اندازی کرد: ویروس آزمایش Eicar را در ویژگی بلوک داده در وب سایت خود ارائه می دهد تا بررسی کند که مرورگرها آن را ارزیابی کرده و آن را به حافظه باران می رسانند. سپس اسکنر ویروس باید شروع شود.
بعداً نرم افزار تست شده را در پوشه نیمکت تست کپی کرده و آن را اجرا می کنید. اگر آلارم نشان داده شده در تصویر بالا رخ دهد ، در بدست آوردن DLL آسیب پذیری امنیتی وجود دارد.
مسئله این است که یک "نقطه ضعف" وجود دارد که توسط "عمل خوب برنامه نویسی" رد می شود. این باید در اسرع وقت برطرف شود. من قبلاً در اینجا درباره وبلاگ در مورد چند ابزار با چنین ضعف هایی هشدار داده ام ، که اکثر اینها منطقی نیست یا من اظهار نظرهای عقب افتاده می کنم ، چرا من چیزی شبیه به این منتشر می کنم و می توانم این کار را بهتر انجام دهم اما نمونه های مثبتی نیز در مورد چنین مواردی وجود دارد (به تصویر زیر مراجعه کنید).
چرا به دست آوردن DLL ها بسیار مهم است
رفتار مشاهده شده بدان معنی است که تمام پرونده های DLL بارگذاری شده توسط Advanced Run نیز به عنوان یک فرآیند با امتیازات اداری اجرا می شوند. کاربر صریحاً این حقوق را به فرآیندهای فراخوانی شده اعطا می کند.
این معمولاً خوب عمل می کند زیرا ویندوز پرونده های DLL مورد انتظار را در پوشه برنامه پیدا نمی کند و سپس در پوشه های Windows جستجو می کند و همچنین DLL مورد نیاز را در آنجا پیدا می کند. مسئله: اگر این آسیب پذیری شناخته شده باشد ، بدافزارها می توانند از آن استفاده کنند.
تمام آنچه لازم است برای بدافزار است تا DLL ها را با نام های مورد انتظار در پوشه مناسب ذخیره کند. به منظور جلب توجه ، بدافزارها را می توان هنگام دسترسی به پوشه با استفاده از ابزارها ، از وقایع مطلع شد (معمولاً این پوشه خواهد بود بارگیری شده ). سپس نوبت به کپی کردن DLL ها در دایرکتوری می رسد. کاربر به طور غیر منتظره امتیازات بالاتری را به این برنامه اعطا می کند ، و کتابخانه DLL بدافزار با آسیب پذیری امنیتی در تصاحب کتابخانه DLL با حقوق بالاتر اجرا می شود. Advanced Run یک محافظ پنهان مناسب در برابر بدافزارها است که می تواند از امتیازات بالاتری برخوردار شود.
، برای مثال ، مایکروسافت مقاله پشتیبانی KB2533623 را در قالب یک مشاوره امنیتی (آخرین بار در ژانویه سال 2020 به روز کرد) منتشر کرد که به این خطر می پردازد. حتی نسخه های قدیمی تر ویندوز نیز به روز شده اند تا به توسعه دهندگان اجازه دهد از سوء استفاده از آسیب پذیری در ربودن DLL جلوگیری کنند. یک راهنمای امنیتی KB2269637 نیز به این آسیب پذیری می پردازد.
تجربه مشکوک کردن با یک برنامه نویس
سپس چند ابزار Nirsoft دیگر از وب سایت برنامه نویس بارگیری کردم و آنها را نیز روی نیمکت تست راه اندازی کردم. نتیجه مشابهی حاصل شد ، همه آنها در تصاحب DLL آسیب پذیری امنیتی دارند. توسعه دهندگان گزینه مشخص کردن مسیرها و پوشه هایی را برای بارگیری سیستم DLL دارند. اگر Sofer Nir یک برنامه نویس باتجربه است ، رفع آن آسان است.
در دسامبر سال 2019 ، من به توسعه دهندگان AdwCleaner Malwarebytes از چنین آسیب پذیری در مورد تصاحب DLL اطلاع دادم. آنها بلافاصله واکنش نشان دادند و نسخه اصلاح شده را برای چند روز منتشر کردند (به پست های وبلاگ AdwCleaner 8.0.1 آسیب پذیری مربوط به تصاحب DLL را می بندد). در ماه آوریل ، یک بدبختی دیگر برای آنها اتفاق افتاد ، که من بلافاصله آن را اصلاح کردم (به AdwCleaner 8.0.4 آسیب پذیری جدیدی را در جلوگیری از تصاحب کتابخانه DLL می بندد).
بنابراین من در ژانویه سال 2020 با صفر نیر تماس گرفتم. مستقیماً از طریق فرم تماس با او تماس گرفتم و در مورد مشکل پرسیدم. همانطور که می خواهم مقاله را منتشر کنم ، یک درخواست پاسخ و بازخورد نظر ترکیب شده است. در همان زمان ، انتشار این مقاله را به تعویق انداختم. وی امیدوار بود که این کار مشابه AdwCleaner عمل کند.
سام ، امیدی بود زیرا صفر نیر به دعاهای من پاسخ نداد. از آنجا که من با استفان کانتاک دائما در تماس هستم ، من به وضوح از او در مورد اواخر مارس 2020 سؤال کردم. در اینجا مکاتبات ، از جمله بازخورد از استفان کانتاک است:
> PS: آیا تا به حال با Sofir Nir von Nirsoft ارتباط داشته اید؟
> ابزارهای Nirsoft از ربودن DLL رنج می برند –
> در سراسر انجمن آسیب پذیری ها من برای او ایمیل فرستادم اما هرگز پاسخی دریافت نکردم
> (اگرچه وی ایمیل را بررسی كرد). به سادگی
> من چیزی در مورد آن ننوشتم.من او را برای بسیاری از اشکالات گران قیمتش برای او ارسال کردم ، اما آن مرد *** ناشنوا و احمق است: بدون عکس العمل!
بنابراین عکس من را تأیید کنید من تمرکز خودم را بر روی این مقاله از دست داده ام تا اینکه اشتباهاً Winaero Tweaker را به عنوان ابزاری برای هک کردن در نظرات به مقاله Defender طبقه بندی کردم. حتی اگر انتقادات شرکت نیروفت در انتقادات از طرف Defender نیز مورد انتقاد قرار گرفته باشد ، این در نهایت باعث شد تا مقاله منتشر شود.
ابزار "رایگان" دست کشیدن "برای من دشوار است. اگر توسعه دهندگان آنها مایل به کنار آمدن DLL ها نباشند ، حداقل کاربران ابزارها باید بدانند که در چه موارد تکان می خورند. اطلاعات اکنون خارج است ، بنابراین نتیجه گیری کنید.
PS: در زمان های باستان ، یک پیام رسان اخبار بد غالباً بریده می شد. اما این بدان معنا نیست که خبر بد از بین رفته است. مانند انتظار برای اظهار نظر "بد نیست" یا هر چیز دیگری. به دلایلی که در بالا توضیح داده شد ، من ابزارهای NirSoft را در وبلاگ معرفی و استفاده نمی کنم.
