هشدار: کشف آسیب‌پذیری SMBv3 بحرانی وصله‌نشده‌ی ویندوز

مایکروسافت اندکی پس از انتشار به‌روزرسانی‌های امنیتی ماهانه‌ی خود، مشاوره‌نامه‌ای منتشر کرد که به میلیاردها کاربر ویندوز خود درباره‌ی یک آسیب‌پذیری بحرانی جدید وصله‌نشده و wormable که پروتکل ارتباطی شبکه‌ی Server Message Block 3.0 (SMBv3) را تحت تأثیر قرار می‌دهد، هشدار می‌دهد.

به نظر می‌رسد که مایکروسافت در ابتدا قصد داشت که این آسیب‌پذیری را به‌عنوان بخشی از به‌روزرسانی وصله‌ی روز سه‌شنبه‌ی ماه مارس ۲۰۲۰ میلادی خود رفع کند، اما به دلایلی در آخرین لحظات تصمیم خود را تغییر داد.

این آسیب‌پذیری که هنوز وصله نشده است با شناسه‌ی CVE-2020-0796 ردیابی می‌شود و در صورت بهره‌برداری موفقیت‌آمیز به یک مهاجم اجازه می‌دهد تا کد دلخواه را در SMB Server یا SMB Client هدف اجرا کند. تأیید تاخیردار مایکروسافت موجب شد که برخی از پژوهش‌گران این اشکال را SMBGhost بنامند.

مایکروسافت در مشاوره‌نامه‌ی خود اعلام کرد که برای بهره‌برداری از این آسیب‌پذیری در SMB Server، یک مهاجم احرازهویت‌نشده می‌تواند یک بسته‌ی دست‌کاری‌شده را به یک SMBv3 Server هدف ارسال کند. برای بهره‌برداری از این آسیب‌پذیری در SMB Client، یک مهاجم احرازهویت‌نشده باید یک SMBv3 Server مخرب را پیکربندی کند و کاربر را متقاعد کند تا به آن متصل شود. پروتکل SMB پایگاهی برای اشتراک فایل، مرور شبکه، خدمات چاپ و ارتباط بین فرآیندی در یک شبکه فراهم می‌کند.

براساس پست وبلاگی سیسکو تالس که درحال‌حاضر حذف شده است، این آسیب‌پذیری سیستم‌های آسیب‌پذیر را در معرض یک حمله‌ی wormable قرار می‌دهد و انتشار از یک قربانی به قربانی دیگر را تسهیل می‌کند. اگرچه هنوز مشخص نیست که مایکروسافت چه زمانی می‌خواهد این آسیب‌پذیری را وصله کند، اما به کاربران خود توصیه می‌کند تا فشرده‌سازی SMBv3 را غیرفعال کنند و درگاه ۴۴۵ TCP را در دیوار آتش و رایانه‌های کلاینت مسدود کنند.

علاوه‌برآن مایکروسافت هشدار داده است که غیرفعال کردن فشرده‌سازی SMBv3 از بهره‌برداری از SMB Client جلوگیری نمی‌کند. قابل ذکر است که این آسیب‌پذیری تنها ویندوز ۱۰ نسخه‌ی ۱۹۰۳، ویندوز ۱۰ نسخه‌ی ۱۹۰۹، ویندوز سرور نسخه‌ی ۱۹۰۳ و ویندوز سرور نسخه‌ی ۱۹۰۹ را تحت تأثیر قرار می‌دهد. اما احتمالاً با معرفی SMB 3.0 با ویندوز ۸ و ویندوز سرور ۲۰۱۲ نسخه‌های بیشتری تحت تأثیر قرار بگیرند.

با وجود شدت بالای این اشکال SMB، هیچ شواهدی مبنی‌بر بهره‌برداری از آن وجود ندارد.

در سال‌های گذشته، برخی از آلودگی‌های باج‌افزاری بزرگ ازجمله WannaCry و NotPetya نتیجه‌ی بهره‌برداری‌های مبتنی‌بر SMB بوده‌اند. درحال‌حاضر تا زمانی که مایکروسافت یک به‌روزرسانی امنیتی برای وصله‌ی آسیب‌پذیری اجرای کد از راه دور CVE-2020-0796 منتشر کند، توصیه می‌شود که مدیران سیستم راه‌کارهایی برای جلوگیری از حملاتی که از این آسیب‌پذیری بهره‌برداری می‌کنند، پیاده‌سازی کنند.

منبع

پست‌های مشابه

Leave a Comment

هفده + دو =