وصله‌ی اضطراری برای آسیب‌پذیری SMBv3 منتشر شد

مایکروسافت درنهایت یک به‌روزرسانی نرم‌افزاری اضطراری برای وصله‌ی آسیب‌پذیری بسیار خطرناکی که به‌تازگی در پروتکل SMBv3 کشف شده بود، منتشر کرده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا بدافزار wormable منتشر کنند که می‌تواند به‌صورت خودکار خود را از یک رایانه‌ی آسیب‌پذیر به رایانه‌ی دیگر انتشار دهد.

این آسیب‌پذیری که با شناسه‌ی CVE-2020-0796 ردیابی می‌شود، یک آسیب‌پذیری اجرای کد از راه دور است که ویندوز ۱۰ نسخه‌ی ۱۹۰۳ و ۱۹۰۹ و ویندوز سرور نسخه‌ی ۱۹۰۳ و ۱۹۰۹ را تحت تأثیر قرار می‌دهد.

Server Message Block (SMB) که در درگاه ۴۴۵ TCP اجرا می‌شود، یک پروتکل شبکه است که برای فعال کردن اشتراک فایل، مرور شبکه، خدمات چاپ و ارتباطات بین فرآیندی در یک شبکه طراحی شده است.

آسیب‌پذیری اخیر که در وب‌گاه مایکروسافت وصله‌ای برای آن منتشر شده است، در روش مدیریت درخواست‌ها با سرآیندهای فشرده‌سازی توسط پروتکل SMBv3 وجود دارد و این امکان را به مهاجمان راه دور احرازهویت‌نشده می‌دهد که با مجوزهای SYSTEM  کد مخرب در سرورها یا کلاینت‌های هدف اجرا کنند.

سرآیند فشرده‌سازی یک ویژگی است که در ماه مِه سال ۲۰۱۹ میلادی به پروتکل آسیب‌دیده‌ی سیستم عامل‌های ویندوز ۱۰ و ویندوز سرور اضافه شده و برای فشرده‌سازی اندازه‌ی پیام‌های تبادل‌شده بین یک سرور و کلاینت‌های متصل به آن طراحی شده است.

مایکروسافت در مشاوره‌نامه‌ی خود بیان کرد که برای بهره‌برداری از این آسیب‌پذیری علیه یک سرور، یک مهاجم احرازهویت‌نشده می‌تواند یک بسته‌ی دست‌کاری‌شده را به یک سرور SMBv3 هدف ارسال کند. برای بهره‌برداری از این آسیب‌پذیری علیه یک کلاینت، یک مهاجم احرازهویت‌نشده باید یک سرور SMBv3 مخرب را پیکربندی کند و یک کاربر را متقاعد کند تا به آن متصل شود.

در زمان انتشار خبر، تنها یک بهره‌برداری اثبات مفهومی برای این آسیب‌پذیری بحرانی قابل بهره‌برداری از راه دور وجود داشت، اما وصله‌های جدید مهندسی معکوس درحال‌حاضر می‌تواند به نفوذگران کمک کند تا بردارهای حمله‌ای پیدا کنند که بدافزار کاملاً مجهز خودانتشار توسعه دهند.

یک گروه از پژوهش‌گران نیز یک تجزیه و تحلیل فنی مفصل درباره‌ی این آسیب‌پذیری منتشر کرده‌اند و نتیجه‌گیری می‌کنند که یک سرریز kernel pool به‌عنوان روت موجب ایجاد این مسأله می‌شود.

درحال‌حاضر نزدیک به ۴۸ هزار سیستم ویندوز وجود دارد که در برابر آسیب‌پذیری فشرده‌سازی SMB اخیر آسیب‌پذیر هستند و از طریق اینترنت قابل دسترسی هستند.

از آن‌جا که درحال‌حاضر یک وصله برای آسیب‌پذیری SMBv3 برای بارگیری در دسترس است، به‌شدت به کاربران خانگی و کسب‌وکارها توصیه می‌شود که به راه‌کارهای مقابله‌ای اکتفا نکنند و هر چه سریع‌تر به‌روزرسانی‌ها را نصب کنند. در مواردی که به‌روزسانی وصله‌ی فوری عملی نیست، به کاربران توصیه می‌شود که حداقل ویژگی فشرده‌سازی SMB را غیرفعال کنند و درگاه SMB را برای اتصال‌های ورودی و خروجی را مسدود کنند تا به جلوگیری از بهره‌برداری‌های راه دور کمک کنند. 

منبع

پست‌های مشابه

Leave a Comment