در این مقاله با اطلاع رسانی آسیب پذیری برخی از نسخه های ویندوز سرور در برابر نوعی از هک به نام Juicy Potato با شما همراه هستیم.
ویندوز سرور در کانفیگ پیش فرض خود، دارای یک آسیب پذیری بسیار مهم می باشد که به خطر افتادن سرور را می تواند تشدید کند. برای مثال در کاربری خدمات هاستینگ و ارائه دهندگان سایت های زیاد روی سرور ویندوزی با کنترل پنل پلسک، این مورد به کاربران اجازه می دهد تا اسکریپت های خاص را در سرویس خود آپلود کند تا به دسترسی های Administrator برسد. حال این سوال پیش می آید که:
آیا این آسیب پذیری در کنترل پنل پلسک است؟
در پاسخ به این سوال، کمپانی پلسک پاسخ را خیر اعلام کرده است. در واقع این یک آسیب پذیری در Windows Server می باشد و کنترل پنل پلسک، کانفیگ اکانت های IIS را به همان روشی که در سروری با نصب IIS در آن بدون نصب کنترل پنل پلسک، انجام می دهد.
آیا سرور من در معرض این هک قرار می گیرد؟
نسخه های زیر تحت تاثیر این نوع هک قرار می گیرند:
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
می توان گفت که تنها نسخه ی ویندوز سرور ۲۰۱۹ در برابر این نوع هک آسیب پذیر نمی باشد.
آیا این آسیب پذیری توسط مایکروسافت حل خواهد شد؟
متاسفانه در این زمینه مایکروسافت به دلیل نوع اجرا و پیاده سازی معماری سیستم عامل ها، توصیه های خاصی را در مورد ویندوز سرور ارائه نمی دهد و در این مورد توصیه رسمی خود مایکروسافت این است که “استفاده از ویندوز سرور ۲۰۱۹ می تواند تعدد و تشدید این نوع هک را کاهش دهد”
چه اموری می توان دراین راستا انجام داد؟
کمپانی پلسک در این مورد راهکارهای زیر را اعلام می کند:
- به عنوان راه حل، پشتیبانی DCOM را در سرور مطابق مقاله های مایکروسافت برای نسخه های تحت تاثیر ویندوز سرور، Disable کنید.
البته توجه داشته باشید که انجام این امر نیاز به یک مرتبه ریستارت کردن سرور دارد و این تغییرات تا حدودی آسیب پذیری را کاهش خواهد داد و دیگر Exploit ها از کار خواهند افتاد.
- ویندوز سرور خود را به نسخه ی ۲۰۱۹ ارتقا دهید زیرا این نسخه طبق اعلام مایکروسافت، در برابر اتک Juicy Potato تاثیرپذیر نمی باشد.
در صورتیکه یکی از راهکار ها را انجام دادید، توجه کنید که Notification این اطلاع رسانی در کنترل پنل پلسک شما، به صورت خودکار ازبین نخواهد رفت و برای Hide کردن آن نیاز است روی عبارت “I got it and understand the risk” کلیک کنید.
آیا انجام راه حل های اعلام شده، کار پر ریسک و پرخطری است؟
سرویس DCOM توسط خود کنترل پنل پلسک استفاده نمی شود و بنابراین منطقا نباید در کارکرد سرور مشکلی رخ دهد و یا سایت ها دچار مشکل شوند اما به هرحال ممکن است توسط سایت های میزبانی شده در کنترل پنل، مورد استفاده قرار گیرد و Disable کردن آن ممکن است به نوعی در عملکرد این سایت ها تاثیر گذار باشد و آنها را دچار اختلال کند. Disable کردن این گزینه همچنین ممکن است در محیط ها یا برنامه های خود ویندوز نیز تاثیر گذار باشد.
نحوه Disable کردن DCOM در ویندوز:
دراین بخش نحوه Disable کردن DCOM در ویندوز را با یکدیگر انجام خواهیم داد. توجه داشته باشید که تمام مراحل را به صورت دقیق انجام دهید چون در صورتیکه مرحله ای را نادرست انجام دهید، ممکن است مشکلات جدی را برای سرور بوجود بیاورد.
از Start سرور، Run را باز کنید و regedit را جستجو کنید. در تب باز شده مطابق تصویر زیر وارد آدرس
-
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
شوید:
در این بخش روی EnableDCOM کلیک راست کنید و Modify را بزنید و Value data را به N تغییر دهید.
حالا مجددا Run را از Start ویندوز باز کنید و Dcomcnfg.exe را باز کنید، مطابق تصویر زیر وارد آدرس زیر شوید:
Component Services/Console Root/Computers
سپس روی گزینه ی My computer کلیک راست کنید و در تب Default Properties تیک گزینه ی Enable Distributed COM on this Computer را بردارید تا Disable شود.
در آخر نیز برای شناسایی و اعمال تغییرات توسط سیستم عامل، سرور را یک مرتبه ریبوت کنید.
نظرات ارزشمند خود را در مقالات با ما به اشتراک بگذارید…
