واناکرای دیگری در راه است! - آسیب‌پذیری جدید پروتکل SMB ویندوز

خلاصه: افشای آسیب‌پذیری حیاتی روز صفر سیستم‌های ویندوز توسط خود مایکروسافت! میلیون‌ها سیستم را در معرض خطر قرار داده است. این آسیب‌پذیری روی SMBv3 امکان اجرای کد از راه دور و توزیع کرم‌گونه را روی سیستم‌های آسیب‌پذیر فراهم می‌نماید. خاطرات تلخ واناکرای را به یاد بیاوریم و این بار آماده حادثه باشیم!

 

تنها کمی پس از به‌روز‌رسانی ماهانه مایکروسافت که سه‌شنبه منتشر شد، مایکروسافت در یک هشدار جداگانه در مورد میلیاردها کاربر ویندوز در مقابل یک آسیب‌پذیری حیاتی، وصله نشده و کرم‌گونه هشدار داد که پروتکل ارتباطی SMB نسخه ۳ را تحت تاثیر قرار می‌دهد.

به نظر می‌رسد مایکروسافت قصد داشته این نقص را در به‌روز‌رسانی‌های سه‌شنبه این ماه وصله نماید، اما به دلایلی از این کار منصرف شده است. اما به نظر می‌رسد این عدم انتشار با بخش اطلاع‌رسانی هماهنگی نشده و آن‌ها آسیب‌پذیری وصله نشده با این سطح خطر را فاش نموده‌اند!

این آسیب‌پذیری با شناسه  جهانی CVE-2020-0796 شناخته می‌شود، که اگر مورد سوء استفاده قرار بگیرد، به مهاجمان اجازه می‌دهد که کد دلخواه خود را روی سرور SMB یا کلاینت SMB هدف اجرا کند.

برخی کارشناسان و محققان نام این آسیب‌پذیری را SMBGhost گذاشته‌اند.

مایکروسافت بیان کرده برای سوءاستفاده از این آسیب‌پذیری روی سرور SMB ، یک مهاجم احراز اصالت نشده می‌تواند یک بسته دلخواه دستکاری شده را به سرور SMBv3 هدف ارسال کند. به منظور  سوء استفاده از این آسیب‌پذیری روی کلاینت SMB، یک مهاجم غیرمجاز، نیاز به پیکربندی یک سرور مخرب SMBv3 دارد و باید بتواند کاربر را متقاعد ‌کند که به آن متصل شود.

پروتکل SMB برای اشتراک‌گذاری فایل، مرور شبکه، خدمات پرینت و ارتباط ‌پردازشی از طریق شبکه را فراهم می‌کند.

بر اساس پستی که سیسکو تالوس منتشر کرده و سپس آن را حذف نمود! این ضعف امنیتی سیستم‌ها را نسبت به حملات کرم‌گونه آسیب‌پذیر می‌نماید. این مساله بدان معنی است که انتشار حمله ساده بوده و از یک سیستم آلوده می‌تواند روی سیستم‌های آلوده دیگر منتشر شود.

گرچه هنوز مشخص نشده مایکروسافت چه زمانی می‌خواهد نقص این وصله را برطرف کند، این شرکت از کاربرانش می‌خواهد به عنوان یک راه‌حل،  SMBv3 را غیرفعال کرده و پورت ۴۴۵ ارتباط  TCP روی فایروال‌ها و رایانه‌های کاربران را مسدود کنند.

مسیر تنظیم ItemProperty به صورت زیر است:

"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"

و قسمت Compression -Type DWORD -Value 1 –Force را غیرفعال کنید.

همچنین مایکروسافت هشدار داده که غیرفعال کردن فشرده‌سازی SMBv3  جلوی سو‌استفاده از این آسیب‌پذیری را نمی‌گیرد و لازم است SMB به صورت کامل غیرفعال شود.

شایان ذکر است که این نقص تنها به نسخه‌های ۱۹۰۳ و ۱۹۰۹ ویندوز ۱۰ و نسخه‌های ۱۹۰۳ و ۱۹۰۹ ویندوز سرور را تحت تاثیر قرار می‌دهد.

اما احتمالاً با معرفی SMB3.0 برای ویندوز ۸ و ویندوزسرور ۲۰۱۲، نسخه‌های بیشتری تحت تاًثیر این آسیب‌پذیری باشند.

البته با وجود خطر بالای باگ SMB، فعلا هیچ مدرکی مبنی بر بهره‌برداری از آن وجود ندارد.

تنها در چند سال گذشته، برخی از مهمترین باج‌افزارها از جمله واناکرای و NotPetya نتیجه سوءاستفاده‌های مبتنی بر SMB بوده‌اند.

در حال حاضر، تا زمانی که مایکروسافت یک به‌روزرسانی امنیتی را برای آسیب‌پذیری اجرای کد از راه دور CVE-2020-0796 منتشر نکند، توصیه می‌شود که مدیران سیستم برای جلوگیری از حمله و سوء‌استفاده از این آسیب‌پذیری اقدامات لازم را انجام داده و راه‌هایی را برای مقابله با سو‌استفاده از این آسیب‌پذیری پیاده‌سازی کنند.