مایکروسافت درنهایت یک بهروزرسانی نرمافزاری اضطراری برای وصلهی آسیبپذیری بسیار خطرناکی که بهتازگی در پروتکل SMBv3 کشف شده بود، منتشر کرده است. این آسیبپذیری به مهاجمان اجازه میدهد تا بدافزار wormable منتشر کنند که میتواند بهصورت خودکار خود را از یک رایانهی آسیبپذیر به رایانهی دیگر انتشار دهد.
این آسیبپذیری که با شناسهی CVE-2020-0796 ردیابی میشود، یک آسیبپذیری اجرای کد از راه دور است که ویندوز ۱۰ نسخهی ۱۹۰۳ و ۱۹۰۹ و ویندوز سرور نسخهی ۱۹۰۳ و ۱۹۰۹ را تحت تأثیر قرار میدهد.
Server Message Block (SMB) که در درگاه ۴۴۵ TCP اجرا میشود، یک پروتکل شبکه است که برای فعال کردن اشتراک فایل، مرور شبکه، خدمات چاپ و ارتباطات بین فرآیندی در یک شبکه طراحی شده است.
آسیبپذیری اخیر که در وبگاه مایکروسافت وصلهای برای آن منتشر شده است، در روش مدیریت درخواستها با سرآیندهای فشردهسازی توسط پروتکل SMBv3 وجود دارد و این امکان را به مهاجمان راه دور احرازهویتنشده میدهد که با مجوزهای SYSTEM کد مخرب در سرورها یا کلاینتهای هدف اجرا کنند.
سرآیند فشردهسازی یک ویژگی است که در ماه مِه سال ۲۰۱۹ میلادی به پروتکل آسیبدیدهی سیستم عاملهای ویندوز ۱۰ و ویندوز سرور اضافه شده و برای فشردهسازی اندازهی پیامهای تبادلشده بین یک سرور و کلاینتهای متصل به آن طراحی شده است.
مایکروسافت در مشاورهنامهی خود بیان کرد که برای بهرهبرداری از این آسیبپذیری علیه یک سرور، یک مهاجم احرازهویتنشده میتواند یک بستهی دستکاریشده را به یک سرور SMBv3 هدف ارسال کند. برای بهرهبرداری از این آسیبپذیری علیه یک کلاینت، یک مهاجم احرازهویتنشده باید یک سرور SMBv3 مخرب را پیکربندی کند و یک کاربر را متقاعد کند تا به آن متصل شود.
در زمان انتشار خبر، تنها یک بهرهبرداری اثبات مفهومی برای این آسیبپذیری بحرانی قابل بهرهبرداری از راه دور وجود داشت، اما وصلههای جدید مهندسی معکوس درحالحاضر میتواند به نفوذگران کمک کند تا بردارهای حملهای پیدا کنند که بدافزار کاملاً مجهز خودانتشار توسعه دهند.
یک گروه از پژوهشگران نیز یک تجزیه و تحلیل فنی مفصل دربارهی این آسیبپذیری منتشر کردهاند و نتیجهگیری میکنند که یک سرریز kernel pool بهعنوان روت موجب ایجاد این مسأله میشود.
درحالحاضر نزدیک به ۴۸ هزار سیستم ویندوز وجود دارد که در برابر آسیبپذیری فشردهسازی SMB اخیر آسیبپذیر هستند و از طریق اینترنت قابل دسترسی هستند.
از آنجا که درحالحاضر یک وصله برای آسیبپذیری SMBv3 برای بارگیری در دسترس است، بهشدت به کاربران خانگی و کسبوکارها توصیه میشود که به راهکارهای مقابلهای اکتفا نکنند و هر چه سریعتر بهروزرسانیها را نصب کنند. در مواردی که بهروزسانی وصلهی فوری عملی نیست، به کاربران توصیه میشود که حداقل ویژگی فشردهسازی SMB را غیرفعال کنند و درگاه SMB را برای اتصالهای ورودی و خروجی را مسدود کنند تا به جلوگیری از بهرهبرداریهای راه دور کمک کنند.