CVE-2020-0796: آسیب‌پذیری جدید در پروتکل SMB

۱۳۹۸/۱۲/۲۵امنیت اطلاعات

 روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛گفته می‌شود در ویندوز 10 و سیستم‌عامل‌های ویندوز سرور آسیب‌پذیریِ CVE-2020-0796 پیدا شده که پروتکل SMBv3[1] را تحت‌الشعاع قرار داده است. به نقل از مایکروسافت، یک مهاجم می‌تواند این آسیب‌پذیری را به قصد اجرای کد دلخواه روی سرور SMB یا کلاینت SMBاکسپلویت کند. فرد برای حمله به سرور می‌تواند براحتی بسته‌ای با ساخت ویژه را برای آن ارسال کند. در مورد کلاینت هم باید گفت، مهاجمین باید سرور آلوده‌ی SMBv3 را تنظیم کرده و کاربر را به اتصال بدان متقاعد کنند. در ادامه با ما همراه شوید تا مبسوط به این آسیب‌پذیری بپردازیم.

متخصصین امنیت سایبری معتقدند این آسیب‌پذیری می‌تواند برای اجرای کرمی مشابه با واناکرای مورد استفاده قرار گیرد. مایکروسافت این آسیب‌پذیری را بسیار جدی می‌داند پس باید هر چه زودتر به فعالیت آن خاتمه داد.

چه کسی در خطر است؟

SMB یک پروتکل شبکه برای دسترسی ریموت به فایل‌ها، پرینترها و سایر منابع شبکه بوده و برای پیاده‌سازی فایل و شبکه‌ی ویندوزی مایکروسافت و قابلیت‌ تقسیم پرینتر مورد استفاده قرار می‌گیرد. اگر شرکت‌تان از چنین کارکردهایی استفاده می‌کند پس احتمالاً در خطر هستید.

SMBv3 پروتکلی نسبتاً تازه است که فقط در سیستم‌عامل‌های جدید استفاده می‌شود:

  •         ویندوز 10 نسخه 1903 برای سیستم‌های 32 بیتی
  •         ویندوز 10 نسخه 1903 برای سیستم‌های مبتنی بر ARM64
  •         ویندوز 10 نسخه 1903 برای سیستم‌های مبتنی بر x64
  •         ویندوز 10 نسخه 1909 برای سیستم‌های 32 بیتی
  •         ویندوز 10 نسخه 1909 برای سیستم‌های مبتنی بر ARM64
  •         ویندوز 10 نسخه 1903 (نصب هسته سیستم)
  •         ویندوز سرور، نسخه 1909 (نصب هسته سیستم)

این آسیب‌پذیری ویندوز 7، 8، 8.1 یا نسخه‌های قدیمی‌تر را درگیر نخواهد کرد. با این‌ حال بیشتر کامپیوترهای مدرن با نصب خودرکار آپدیت‌ها ویندوز 10 را اجرا می‌کنند؛ بنابراین احتمال دارد بسیاری از کامپیوترها هم خانگی و هم سازمانی آسیب‌پذیر باشند.

آیا مهاجمین در حال اکسپلویت کردن CVE-2020-0796 هستند؟

بر طبق گفته‌های مایکروسافت، آسیب‌پذیری CVE-2020-0796 هنوز برای حملات مورد استفاده قرار نگرفته است- دست‌کم کسی هنوز چنین حملاتی را ندیده است اما مشکل اینجاست که هنوز برای آن پچی هم ارائه داده نشده است. این در حالیست که از تاریخ 10 مارس اطلاعاتی پیرامون این آسیب‌پذیری در عموم پخش شده است؛ بنابراین اکسپلویت‌ها می‌توانند هر لحظه پدیدار شوند (اگر تا همین الانش پدیدار نشده باشند).

چه کار باید کرد؟

مایکروسافت آپدیت امنیتی را منتشر کرده است که دقیقاً همین آسیب‌پذیری را مورد هدف قرار می‌دهد. وقتی هنوز پچی در کار نیست پس باید جلوی این آسیب‌پذیری را گرفت و این کار نیازمند یک‌سری تمهیدات است. این شرکت برای جلوگیری از این آسیب‌پذیری موارد زیر را پیشنهاد می‌دهد:

برای سرورهای SMB

شما می‌توانید با استفاده از فرمان پاورشل جلوی این آسیب‌پذیری را بگیرید:

Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

برای کلاینت‌های SMB:

مثل واناکرای، مایکروسافت پورت 445 مسدودکننده‌ی TCP در فایروال سازمانی را توصیه می‌کند.

همچنین مطمئن شوید از راهکار امنیتی مطمئنی مانند کسپرسکی اندپوینت سکیوریتی سازمانی استفاده می‌کنید. این فناوری از میان کلی فناوری دیگر زیرمجوعه‌ی پیشگیرانه‌ای را که وظیفه‌اش حفاظت از اندپوینت‌هاست به کار می‌بندد (حتی پیشگیری از آسیب‌پذیری‌های ناشناخته).

 

[1]Microsoft Server Message Block 3.1.1

 

6منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.