الحالة
موضوع مغلق
MAHMOED

MAHMOED

عضوية الشرف
#1
'',

احبابى فى الله

كل عام وانتم بخير

تقبل الله منا ومنكم الصيام

لقد ظهر مؤخرا وبما تحمله الكلمة من معنى تهديد جديد وهو ثغرات DLL Hijacking Flaws التي كانت تعتبرها Microsoft دات درجة تهديد منخفظة (خصوصا انها كانت تعتقد ان الاستغلال لن يتجاوز الحاسوب المحلي )فقد قام عدة اخصائي حماية وعلى راسهم HD Moore بالكشف عن طريقة لاستغلال هدا النوع من الثغرات التي كما اشرت سابقا لم يكن يحسب لها اي حساب واما الان فاصبحت تتصدر القائمة وبادن الله سوف احاول في هدا الموضوع المتواضع والدي كما اعتقد يطرح لاول مرة عربيا محاولة الكشف ولو عن جزء صغير من هدا التهديد الجديد فعلى بركة الله لننطلق.

معظمنا ومعظم من يتعامل مع البرمجة بصفة عامة يعرف ان البرامج الحديثة تعتمد على مكتبات Dll لاستوراد بعض الدوال منها فلاداعي لاعادة برمجة الدوال ادا كانت قد برمجت اصلا ففي هدا توفير في الوقت و المجهود وبما ان الدوال المستخدمة في البرمجة منتشرة في مكتبات Dll هده الاخيرة قد لا تكون دائما في جهاز المستخدم فان المبرمجين يظطرون الى حزم هده المكتبات مع برامجهم فلنفترض اننا انشئنا برنامج ما فهدا البرنامج بمجرد بداه يبدا بتحميل مكتبات Dll ودلك لانه يحتاج الى الدوال الموجودة فيها وعملية التحميل هده تتم بطريقتين اما بطريقة يدوية حيث يتم تزويد البرنامج بالمسار الكامل للمكتبة او بطريقة ديناميكية فالنظام يحاول حينها ايجاد هده المكتبات بطريقة اوتوماتيكية ودلك باستخدام تقنية SafeDllSearchMode او اعداد SafeDllSearchMode هو ان صح التعبير قائمة بالمناطق التي يجدر بالنظام البحث فيها عن مكتبات Dll لتحميلها وهده هي القائمة :
-الممجلد الدي تم تحميل البرنامج منه
-مجلد system
-مجلد 16-bit system هدل المجلد لا يستعمل من طرف اي برنامج ولكنه ومع دلك يتم البحث فيه
-مجلد windows
-المجلد الحالي
-المجلدات الموجودة في متغير path environment

لمعلومات اكثر يمكنكم اتباع هدا الرابط

http://msdn.microsoft.com/en-us/libr...=VS.85%29.aspx

وهنا يكمن خطر الطريقة الاوتوماتيكية لاننا ببساطة يمكننا ان نستغل التحميل الغير الامن للمكتبات لانه بالطبع هناك طرق لتخطي هدا المشكل ومعظمها يتعلق بالمبرمج فادا كان هناك تحميل غير امن لهده المكتبات فالمخترق يمكنه حينها تنفيد اكود على جهازك ودلك بتحميل المكتبة الخاصة به فمثلا يمكننا ان ننشئ مكتبة ضارة بنفس اسم المكتبة الدي طلبها البرنامج وبالتالي نضمن تنفيد الكود الخاص بنا بالطبع الاستغلال عادة يكون محليا ولكن HD Moore تطرق الى فكرة استخدام network share وبالتالي جعل الاستغلال عن بعد .

لناخد مثالا عن الاستغلال برنامج
Microsoft PowerPoint 2010 http://www.exploit-db.com/exploits/14723/

كود PHP:
كود:
 	[COLOR=#000000] [COLOR=#0000BB]
[/COLOR][COLOR=#FF8000]#include <windows.h>
#define DLLIMPORT __declspec (dllexport)

[/COLOR][COLOR=#0000BB]DLLIMPORT void HrCreateConverter[/COLOR][COLOR=#007700]() { [/COLOR][COLOR=#0000BB]evil[/COLOR][COLOR=#007700](); }

[/COLOR][COLOR=#0000BB]int evil[/COLOR][COLOR=#007700]()
{
  [/COLOR][COLOR=#0000BB]WinExec[/COLOR][COLOR=#007700]([/COLOR][COLOR=#DD0000]"calc"[/COLOR][COLOR=#007700], [/COLOR][COLOR=#0000BB]0[/COLOR][COLOR=#007700]);
  exit([/COLOR][COLOR=#0000BB]0[/COLOR][COLOR=#007700]);
  return [/COLOR][COLOR=#0000BB]0[/COLOR][COLOR=#007700];
}  
[/COLOR][COLOR=#0000BB] [/COLOR] [/COLOR]
وفي صدد كتابتي لهدا الموضوع ظهرت ثغرة في Firefox <= 3.6.8 في مكتبة dwmapi.dll




الكود اعلاه يمثل كود المكتبة الضارة

ولنرى الان سيناريو لعملية الاختراق (فيمكننا بالطبع في الكود اعلاه ان نقوم باي شيئ نريد) فالمخترق سوف يقوم بانشاء ملف ppt مثلا ثم يقوم بارفاق معه المكتبة المصابة وبمجرد ان يقوم البرنامج بطلب تحميل مكتبة pptimpconv.dll والتي تحميلها غير امن مما يجعلنا نخدع البرنامج ودلك بتحميل مكتبتنا الموجودة اعلاه لنلاحظ ظهور الالة الحاسبة على اي كما دكرت في الاول هدا مثال فقط وهدا جزء بسيط من خطر الثغرة خصوصا ان هده الاخيرة اصبحت الان من السهل الكشف عنها بواسطة اداة DLLHijackAuditKit.zip
مثلا

https://www.metasploit.com/redmine/p...ckAuditKit.zip

مما ينبهنا الى حقيقة اساسية وهو ان عصر DLL Hijacking قد بدا.
 

اذكرالله

عضوية الشرف
#2
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

وعليكم السلام

نعم اخي صحيح واخر ضعف في ملف
dwmapi.dll
كان في تطبيق ال
Adobe Flash Player IE version 10.1.x

حيث ان التطبيق غير كفؤ لمسارالمكتبه للملف الضعيف dwmapi.dll
بالنهاية يؤدي الى عرض كامل ل سطح المكتب بمجرد زيارة صفحة مدعم بها ال
Flash
لانه استقبل الملف ال dll على سطح مكتبه

طبعا ليس هو التطبيق الوحيد ولكن يوجد ما يقارب 50 تطبيقا يشملهم هذا الضعف

شكرا لك
 
هاني الكيالي

هاني الكيالي

مجموعة الإدارة
#3
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

اخي الحبيب الف شكرا على هذا الموضوع القيم والنافع
 

YaZeeD

عضو محترف
#4
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

حسنًا ، هل يمكن اصلاحه ؟ او هناك طريقة للحماية من هذه الثغرة ؟ هنا ارى ان يتوجه الحديث
لطريقة حل هذه المشكلة بدل ايضاحها ، لأنها قد تستغل من قبل الهاكرز ، للمعلومية : انا لست خبيرًا بهذه الاشياء و لكن مجرد اقتراح مني
 

اذكرالله

عضوية الشرف
#5
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

وعليكم السلام
حسنًا ، هل يمكن اصلاحه ؟ او هناك طريقة للحماية من هذه الثغرة ؟ هنا ارى ان يتوجه الحديث
لطريقة حل هذه المشكلة بدل ايضاحها ،
1- ايضاح الضعف الخطوة الاولى لاصلاحها
2- كيف يمكن اصلاحه ؟

كما ذكرت هناك ما يقارب 50 تطبيق مهدد . لذلك الحل الجزئي هو ان تقوم بتحديث هذا التطبيق الى اصدار احدث ( ان توفر من الشركة المطورة ) - اذا لم يتوفر قم بحذفه مثلا , او انك يجب ان تقلق من ان تتعرض للخداع .

شكرا
 
MAHMOED

MAHMOED

عضوية الشرف
#6
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

اكمر كالله على التوضيح اخى اذكرالله
 

sameh haron

الوسـام الذهبي
#7
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

وهل معنى هذا اخى العزيز محمود ان جهازى مخترق فعند تشغيل هذه اللعبة



تظهر لى هذه الرسالة ولا اعرف ما هى المشكلة



فهل من حل لهذا
 

المرفقات

اذكرالله

عضوية الشرف
#8
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

وعليكم السلام

تظهر لى هذه الرسالة ولا اعرف ما هى المشكلة
كلا . لا تقلق

صحيح ان ما تتحدث عنه ليس له علاقة عن الموضوع . لكن هذا يخبرك
عدم وجود ملف مكتبه

قم بوضعه وتحل المشكله

شكرا
 

sameh haron

الوسـام الذهبي
#9
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

اشكرك اخى العزيز اذكر الله
ولكنى عندما فتحت مجلد اللعبة وجدت الملف موجود فعلا وقمت بنسخه ايضا الى c\windows\system32 ولكن دون جدوى لم تعمل اللعبة وظهرت نفس الرسالة
 
MAHMOED

MAHMOED

عضوية الشرف
#10
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

اشكرك اخى العزيز اذكر الله
ولكنى عندما فتحت مجلد اللعبة وجدت الملف موجود فعلا وقمت بنسخه ايضا الى c\windows\system32 ولكن دون جدوى لم تعمل اللعبة وظهرت نفس الرسالة
اعتقد ان المشكله فى اللعبه جرب تشغيلها على جهاز اخر
 

sameh haron

الوسـام الذهبي
#11
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

اعتقد ان المشكله فى اللعبه جرب تشغيلها على جهاز اخر
حدث بالفعل وان قمت بتجربتها على جهاز اخر ولم تظهر اى مشكلة
 

zinker

عضو فعال
#12
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

الله يستر من الي جاي والله وعشنا وشفنا المكتبات صارت تهاجم !!!
ربنا يستر

الموضوع في غاية الاهمية والصراحة هيك ثغرات رح تحتاج وقت لحتى تقدر شركات المقاومة للفيروسات والتروجان ان تحلها :)

نصيحتي للكل انه يتفقد كل البورتات المفتوحة على جاهزوو وكم مقدار البيانات التي تخرج وتدخل عن طريق البروتات المعروفة ويقارن وساعتها رح يعرف اذا كان انصاب بالبلاوي التروجنية ولا لأ ....
 

ramay

عضو ماسـي
#13
رد: لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

DLLHijackAuditKit.zip
بارك الله فيك ممكن شرح لهذه الادة وكيف نستعمله
 
الحالة
موضوع مغلق

أعلى