|
Title
|
بررسي حملات موسوم به BadTunnel
|
|
Type
|
Presentation
|
|
Keywords
|
Badtunnel attack, security, Microsoft Windows, Netbios
|
|
Abstract
|
اين مقاله روش جديدي براي گذشتن از شبكه را معرفي ميكند كه با نام BadTunnel شناخته مي شود. اين روش نيازي ندارد كه مهاجم روي همان شبكه باشد. حتي زماني كه ديوارآتشين و ابزارهاي NAT در اين ميان وجود دارند اين حمله ميتواند موفقيت آميز باشد. اگر مهاجم بتواند كاربر را متقاعد كند كه يك صفحه را با استفاده از مرورگرهاي Microsoft Edge يا internet explore مشاهده كند و يا يك سند office را باز كند , آنگاه ميتواند :
• خود را به عنوان يك پرينت يا فايل سرور معرفي كند (جا بزند).
• sandbox اينترنت اكسپلورر را بدون EPM/AppContainer دور بزند.
• ترافيك شبكه را سرقت كرده و نه تنها ترافيك http را بلكه ترافيك مربوط به اپديت ويندوز و آپديت Certificate Revocation List از طريق Microsoft Crypto Api را نيز مي تواند سرقت كند.
حملات BadTunnel براي تمامي نسخه هاي ويندوز كارا است. اين حمله ميتواند بر روي تمامي نسخه هاي internet explore و Microsoft edge اجرا شود. در حقيقت هرجايي كه طرح URI يا مسير UNC در فايل جاسازي شده باشد اين حمله كارا است. براي مثال اگر مسير URI و UNC يك فايل در يك لينك ميانبر فايل جاسازي شده باشند (the Microsoft proprietary LNK / URL file) در لحظه اي كه كاربر فايل را در مرورگر ويندوز مشاهده ميكند حمله BadTunnel مي تواند اتفاق مي افتد. پس مي تواند از طريق صفحات وب، ايميل، فلش درايوها و ديگر مدياها مي تواند بكار گرفته شود.
|
|
Researchers
|
gholamreza Ahmadi (First researcher) ,
|