كمقدمة، يُعد MS15-034 ثغرة أمنية حرجة اكتُشفت في ملف HTTP.sys من مايكروسوفت، ويمكن أن يؤدي استغلالها، في حال استغلالها، إلى تنفيذ أوامر برمجية عن بُعد (RCE) أو هجوم رفض الخدمة (DoS). مع انتشار خوادم ويندوز حول العالم، لا يُمكن المبالغة في خطورة هذه الثغرة الأمنية. ولكن ما هو MS15-034؟ كيف يؤثر على الأنظمة، وما هي الخطوات اللازمة للحد منه؟ تُقدم هذه المدونة شرحًا مُعمّقًا لهذا الموضوع.
يبدأ هذا النقاش بنظرة عامة على HTTP.sys. وهو برنامج تشغيل جهاز يعمل في وضع النواة، ويستقبل طلبات HTTP على مستوى النواة. ويؤدي ذلك إلى تحسين الأداء مقارنةً ببرامج الاستماع HTTP في وضع المستخدم. إلا أن هذه الميزة تنطوي أيضًا على مخاطر أعلى، إذ إن ثغرات مستوى النواة، مثل MS15-034، قد تكون بالغة الخطورة، لأنها تتيح للمهاجم الوصول إلى مساحة النواة.
يستغل MS15-034 بشكل رئيسي رأس HTTP Range المستخدم لطلبات المحتوى الجزئي. قد تؤدي قيمة مُصممة خصيصًا في رأس Range إلى تحليل HTTP.sys له بشكل غير صحيح. تنشأ هذه الثغرة الأمنية بشكل رئيسي من عاملين: قيمة "Range" كبيرة وغياب رأس "If-Range". في جوهرها، يخدع المهاجم الخادم ليعيد بيانات أكثر مما ينبغي، مما يتسبب في تجاوز سعة المخزن المؤقت. يمكن أن يؤدي هذا التجاوز إلى حالة رفض الخدمة (DoS) أو، ربما، تنفيذ تعليمات برمجية دون مراقبة.
قد يكون تأثير هذه الثغرة الأمنية مدمرًا للغاية. في حالة هجوم الحرمان من الخدمة (DoS)، قد يؤدي تعطل النظام إلى تعطيل الخدمات المهمة، مما يشكل تهديدًا لوظائف المؤسسة. وفي أسوأ الحالات، قد يمنح التحكم عن بُعد (RCE) المهاجم سيطرة على النظام. يستطيع المهاجم تثبيت البرامج، وعرض البيانات، وتغييرها، أو حذفها، أو إنشاء حسابات جديدة بصلاحيات مستخدم كاملة.
تؤثر هذه الثغرة الأمنية على العديد من إصدارات ويندوز، بما في ذلك ويندوز 7، وويندوز سيرفر 2008 R2، وويندوز 8، وويندوز سيرفر 2012، وويندوز 8.1، وويندوز سيرفر 2012 R2. وهي خطيرة بشكل خاص على خوادم الويب العامة، حيث يمكن استغلالها عن بُعد.
يجب توضيح أن مجرد وجود HTTP.sys على الخادم لا يجعله عرضة للخطر. يجب أن يكون HTTP.sys مرتبطًا بعنوان IP ومنفذ، وأن يكون مُنصتًا للطلبات، لكي تظهر الثغرة. وقد أشارت مايكروسوفت إلى أن هذا لا يحدث كثيرًا، مما يوفر بعض الراحة.
لحسن الحظ، هناك عدة خطوات يمكن لمسؤولي الأنظمة اتخاذها للحد من هذا التهديد. أولًا، من المهم تحديث الأنظمة باستمرار. غالبًا ما تتضمن تحديثات الأمان الدورية من مايكروسوفت إصلاحات لثغرات أمنية كهذه، لذا من الضروري تطبيق هذه التصحيحات في الوقت المناسب.
في حالات أخرى، قد تساعد قواعد جدار الحماية التقييدية في حظر حركة المرور غير المرغوب فيها. وحسب إمكانيات جدار الحماية، قد يكون من الممكن حظر الطلبات ذات النطاق الواسع، والتي عادةً ما تشير إلى هجوم يستغل هذه الثغرة الأمنية.
هناك نهج آخر يتمثل في استخدام وكيل عكسي أو موازن تحميل. يمكن تهيئتهما لتصفية حركة المرور الواردة، وإزالة العناوين الضارة قبل وصولها إلى HTTP.sys. مع ذلك، لهذا الحل عيوبه أيضًا. على سبيل المثال، قد يتم حظر المستخدمين الشرعيين الذين يطلبون ملفات كبيرة.
في الختام، تُعدّ الثغرة الأمنية MS15-034 خطيرة، ولكن من الممكن التعافي من آثارها. يُعدّ تحديث الأنظمة باستمرار، ووضع قواعد جدار حماية مُقيّدة، واستخدام وكيل عكسي أو مُوازن أحمال، عند الاقتضاء، طرقًا فعّالة للحدّ من هذه الثغرة. يكمن السرّ، كما هو الحال دائمًا، في اليقظة الدائمة والتحرك الاستباقي. ولا شكّ في ضرورة مواكبة أحدث المعلومات حول الثغرات الأمنية وتطبيق التصحيحات والتحديثات اللازمة بانتظام. فالعالم الرقمي في تطوّر مستمر، وكذلك التهديدات التي يُخفيها.