اخبار امنیت

آسیب‌پذیری بحرانی در SMBv3

آسیب‌پذیری بحرانی در SMBv3

مارس ۲۰۱۹

مایکروسافت در بروزرسانی‌های اخیر خود ۱۱۵ آسیب‌پذیری را در محصولاتش (Microsoft Windows, Edge browser, Internet Explorer, Exchange Server, Office, Azure, Windows Defender,  و Visual Studio ) برطرف کرد. اعلام این تعداد آسیب‌پذیری برطرف شده در سه شنبه معروف مایکروسافت تا به حال بی سابقه بوده است. علاوه بر این موضوع اعلام یک آسیب‌پذیری با درجه اهمیت بحرانی از سوی مایکروسافت بدون آنکه هنوز برای آن وصله‌ای ارائه شده باشد، نیز بر خاص بودن سه شنبه این هفته افزوده است. این آسیب‌پذیری از سوی یکی از محققان امنیتی SMBGhost نام گذاری شده و شماره مرجع CVE-2020-796  به آن اختصاص داده شده است. یک مهاجم با سواستفاده از آن می‌تواند بر روی SMB Server و یا SMB Client کدهای مورد نظرش را از راه دور اجرا نماید. زمانی که مهاجم می‌خواهد از این آسیب‌پذیری بر روی سرور استفاده کند، به احراز هویت نیازی نداشته و با ارسال بسته‌های SMBv3 دستکاری شده به سمت سرور قادر خواهد بود تا دستورات مورد نظرش را اجرا نماید. در مورد SMB Client نیز مهاجم نیاز دارد تا یک SMB Server جعلی راه بیندازد و کاربر را مجبور نماید تا به او وصل شود.

در مورد Server Message Block (SMB) باید توضیح دهیم که یک پروتکل به اشتراک گذاری فایل در شبکه است که توسط طیف وسیعی از سیستم عامل‌ها مانند ویندوز، MacOS، iOS، لینوکس و اندروید مورد استفاده قرار می‌گیرد. این پروتکل علاوه بر اشتراک گذاری فایل‌ها، امکان مدیریت مرکزی داده‌ها و کاهش فضای لازم ذخیره سازی لازم برای دستگاه‌های همراه را می‌دهد. همچنین سرورها از این پروتکل برای خوشه بندی جریانات کاری استفاده می‌کنند.

مایکروسافت هنوز وصله‌ای برای آسیب‌پذیری کشف شده در SMBv3 ارائه نکرده است، اما به کاربران پیشنهاد کرده است تا پورت ۴۴۵ را بر روی دیواره‌های آتش و کامپیوترها ببندند. مسدود کردن پورت ۴۴۵ بر روی دیواره‎‌های آتش سیستم‌هایی که در پشت آن قرار دارند را در برابر حملاتی که با استفاده از این آسیب‌پذیری ممکن است رخ دهند، محافظت می‌نماید. همچنین مسدودسازی این پورت بر روی سیستم‌های داخل شبکه، آن‌ها را در برابر حملاتی که از طریق اینترنت و با استفاده از این آسیب پذیری برطرف نشده ممکن است رخ دهند، محافظت می‌نماید. ارتباطات SMB که از سمت اینترنت با شبکه شما برقرار می‌شود تنها در موارد محدودی می‌تواند بدون مشکل باشد در غیر این صورت مشکوک هستند و باید مسدود شوند. به طور مثال زمانی که از سرورهای بر مبنای ابر و یا سرویس‌هایی مانند Azure Files استفاده می‌کنید. در چنین مواردی تا زمانی که این آسیب‌پذیری SMBGhost ارائه نشده است نیز باید محدودیت‌هایی را تعریف کنید و SMBv3 را غیرفعال کنند، برای این کار نیز کلید رجیستری زیر را باید تنظیم کنید:

“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

همچنین در شبکه‌تان هر رفتاری مبنی بر سواستفاده از SMBv3 را رصد نمایید. در مطلبی که CISCO Talos منتشر کرد اما بعد از چند ساعت پاک شد به خاصیت کرم گونه بودن این آسیب پذیری اشاره شده بود. یعنی یک مهاجم با استفاده از این آسیب‌پذیری بر روی سیستم‌های آسیب پذیر شبکه می‌تواند مانند کرم حرکت کند و منتشر شود.

در ارتباط با نسخه‌های آسیب‌پذیر نیز باید بگوییم که مایکروسافت تا به حال تنها ویندوز ۱۰ نسخه ۱۹۰۳، ویندوز ۱۰ نسخه ۱۹۰۹ و ویندوز سرور نسخه ۱۹۰۹ را اعلام کرده است. اما باید توجه داشت SMB 3.0 از زمان ویندوز ۸ و ویندوز سرور ۲۰۱۲ معرفی شده است، پس احتمال آسیب پذیر بودن این نسخه‌های نیز وجود دارد. این اولین باری نیست که SMBv3 مورد سواستفاده مهاجمین قرار گرفته است. بیش از این نیز بدافزارهای NotPeya و WannaCry از آسیب‌پذیری در این پروتکل سواستفاده کرده بودند.

تعداد بازدید: 89


تازه ترین ها