مایکروسافت اندکی پس از انتشار بهروزرسانیهای امنیتی ماهانهی خود، مشاورهنامهای منتشر کرد که به میلیاردها کاربر ویندوز خود دربارهی یک آسیبپذیری بحرانی جدید وصلهنشده و wormable که پروتکل ارتباطی شبکهی Server Message Block 3.0 (SMBv3) را تحت تأثیر قرار میدهد، هشدار میدهد.
به نظر میرسد که مایکروسافت در ابتدا قصد داشت که این آسیبپذیری را بهعنوان بخشی از بهروزرسانی وصلهی روز سهشنبهی ماه مارس ۲۰۲۰ میلادی خود رفع کند، اما به دلایلی در آخرین لحظات تصمیم خود را تغییر داد.
این آسیبپذیری که هنوز وصله نشده است با شناسهی CVE-2020-0796 ردیابی میشود و در صورت بهرهبرداری موفقیتآمیز به یک مهاجم اجازه میدهد تا کد دلخواه را در SMB Server یا SMB Client هدف اجرا کند. تأیید تاخیردار مایکروسافت موجب شد که برخی از پژوهشگران این اشکال را SMBGhost بنامند.
مایکروسافت در مشاورهنامهی خود اعلام کرد که برای بهرهبرداری از این آسیبپذیری در SMB Server، یک مهاجم احرازهویتنشده میتواند یک بستهی دستکاریشده را به یک SMBv3 Server هدف ارسال کند. برای بهرهبرداری از این آسیبپذیری در SMB Client، یک مهاجم احرازهویتنشده باید یک SMBv3 Server مخرب را پیکربندی کند و کاربر را متقاعد کند تا به آن متصل شود. پروتکل SMB پایگاهی برای اشتراک فایل، مرور شبکه، خدمات چاپ و ارتباط بین فرآیندی در یک شبکه فراهم میکند.
براساس پست وبلاگی سیسکو تالس که درحالحاضر حذف شده است، این آسیبپذیری سیستمهای آسیبپذیر را در معرض یک حملهی wormable قرار میدهد و انتشار از یک قربانی به قربانی دیگر را تسهیل میکند. اگرچه هنوز مشخص نیست که مایکروسافت چه زمانی میخواهد این آسیبپذیری را وصله کند، اما به کاربران خود توصیه میکند تا فشردهسازی SMBv3 را غیرفعال کنند و درگاه ۴۴۵ TCP را در دیوار آتش و رایانههای کلاینت مسدود کنند.
علاوهبرآن مایکروسافت هشدار داده است که غیرفعال کردن فشردهسازی SMBv3 از بهرهبرداری از SMB Client جلوگیری نمیکند. قابل ذکر است که این آسیبپذیری تنها ویندوز ۱۰ نسخهی ۱۹۰۳، ویندوز ۱۰ نسخهی ۱۹۰۹، ویندوز سرور نسخهی ۱۹۰۳ و ویندوز سرور نسخهی ۱۹۰۹ را تحت تأثیر قرار میدهد. اما احتمالاً با معرفی SMB 3.0 با ویندوز ۸ و ویندوز سرور ۲۰۱۲ نسخههای بیشتری تحت تأثیر قرار بگیرند.
با وجود شدت بالای این اشکال SMB، هیچ شواهدی مبنیبر بهرهبرداری از آن وجود ندارد.
در سالهای گذشته، برخی از آلودگیهای باجافزاری بزرگ ازجمله WannaCry و NotPetya نتیجهی بهرهبرداریهای مبتنیبر SMB بودهاند. درحالحاضر تا زمانی که مایکروسافت یک بهروزرسانی امنیتی برای وصلهی آسیبپذیری اجرای کد از راه دور CVE-2020-0796 منتشر کند، توصیه میشود که مدیران سیستم راهکارهایی برای جلوگیری از حملاتی که از این آسیبپذیری بهرهبرداری میکنند، پیادهسازی کنند.
