هشدارهای افتایی
محققان Ricerca Security اقدام به انتشار نسخه‌ای نمایشی (Demo) از نمونه اثبات‌گر (Proof-of-Concept) آسیب‌پذیری SMBv3 به حملات "اجرای کد به‌صورت از راه دور" (Remote Code Execution) کرده‌اند. رخدادی که اهمیت نصب فوری اصلاحیه این باگ امنیتی را بیش از قبل پررنگ می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، آسیب‌پذیری مذکور که به SMBGhost معروف شده ضعفی در نسخه 3.1.1 پودمان Server Message Block – به اختصار SMBv3 – است که سیستم‌های عامل زیر از آن تأثیر می‌پذیرند:
•    Windows 10 Version 1903 for 32-bit
•    Windows 10 Version 1903 for x64-based
•    Windows 10 Version 1903 for ARM64-based
•    Windows Server, Version 1903 (Server Core installation)
•    Windows 10 Version 1909 for 32-bit
•    Windows 10 Version 1909 for x64-based
•    Windows 10 Version 1909 for ARM64-based
•    Windows Server, Version 1909 (Server Core Installation)
بهره‌جویی (Exploit) از SMBGhost امکان "اجرای کد به‌صورت از راه دور" بر روی دستگاه آسیب‌پذیر را، بدون نیاز به اصالت‌سنجی شدن مهاجم فراهم می‌کند.
مهاجم می‌تواند با ارسال بسته‌ای دستکاری شده به یک سرویس‌دهنده SMBv3 اقدام به بهره‌جویی از SMBGhost بر روی آن سرور کند. برای سوءاستفاده از آسیب‌پذیری بر روی Windows 10 نیز مهاجم قادر است تا با راه‌اندازی یک سرویس‌دهنده مخرب SMBv3 و تشویق کاربر به اتصال به آن، بدون احراز هویت شدن کد مورد نظر خود را بر روی دستگاه با این سیستم عامل به اجرا در آورد.
در ابتدا انتظار می‌رفت که این ضعف امنیتی که به آن شناسه CVE-2020-0796 و درجه حساسیت "حیاتی" (Critical) تخصیص داده شده توسط مجموعه اصلاحیه‌های ماه مارس Microsoft که 20 اسفند عرضه شدند ترمیم شود. در آن تاریخ تعدادی از شرکت‌هایی که عضو برنامه Microsoft Active Protections Program هستند و به اطلاعات مربوط به آسیب‌پذیری‌ها زودتر از سایرین دسترسی دارند با تصور ارائه شدن اصلاحیه این ضعف امنیتی از سوی Microsoft، اقدام به انتشار جزییات ضعف مذکور کردند.
پس از در دسترس قرار گرفتن چند نمونه اثبات‌گر از جمله نمونه‌ای که در آن امکان از کاراندازی سرویس (Denial-of-Service) از طریق سوءاستفاده از SMBGhost را نمایش می‌داد، شرکت Microsoft در 22 اسفند اقدام به انتشار اصلاحیه امنیتی برای تمامی سیستم‌های عامل آسیب‌پذیر به CVE-2020-0796 کرد.
در آن زمان بررسی شرکت Kryptos Logic نشان می‌داد که حدود 48 هزار سیستم آسیب‌پذیر به SMBGhost بر روی اینترنت قابل دسترس است.
پس از آن نیز نمونه‌های اثبات‌گر و گزارش‌های متعددی در خصوص "ترفیع سطح دسترسی محلی" (Local Privilege Escalation) با بهره‌جویی از SMBGhost به‌صورت عمومی در دسترس عموم قرار گرفت. 
اما با این حال تا همین اندکی پیش، هیچ نمونه‌ای که در عمل اجرای "کد به‌صورت از راه دور" را با بهره‌جویی از CVE-2020-0796 اثبات کند ارائه نشده بود. 
شاید یکی از اصلی‌ترین دلایل آن دشوار بودن بهره‌جویی از راه دور در سطح هسته (Remote Kernel Exploitation) که در آن امکان بکارگیری توابع کاربردی سیستم عامل نظیر ایجاد پروسه‌های در کنترل کاربر، ارجاع به بستر PEB و صدور فراخوانی‌های سیستمی میسر نیست در مقایسه با بهره‌جویی‌های موسوم به Local Exploitation بوده باشد.
اکنون اما انتشار نسخه نمایشی Ricerca Security که در ویدئوی زیر قابل مشاهده است بهره‌جویی "اجرای کد به صورت از راه دور" ممکن‌تر از قبل به نظر می‌رسد:
https://vimeo.com/409855578
اگر چه Ricerca Security بجای انتشار عمومی نمونه اثبات‌گر به ارائه این نسخه نمایشی و جزییات فنی آن اکتفا کرده تا به قول این شرکت به ابزاری در دست افراد ناپاک تبدیل نشود اما همانطور که Microsoft نیز در توصیه‌نامه خود به آن اشاره دارد امکان مورد سوءاستفاده قرار گرفتن CVE-2020-0796 بسیار محتمل (More Likely) است.
لذا اگر تا بحال نصب اصلاحیه آسیب‌پذیری مذکور انجام نشده توصیه اکید می‌شود تا برای در امان ماندن از گزند حملات بالقوه در اسرع وقت نسبت به انجام آن اقدام شود.
چنانچه به هر دلیل امکان به‌روزرسانی در حال حاضر فراهم نیست، غیرفعال کردن Compression در SMBv3 که در توصیه‌نامه زیر به آن پرداخته شده می‌تواند راهکاری موقت برای پوشش این آسیب‌پذیری صرفاً بر روی سرورها باشد: سازمان‌های مجهز به راهکارهای دیواره آتش نیز می‌توانند با مطالعه مقاله فنی زیر اقدام به مقاوم‌سازی درگاه‌های مرتبط با پودمان SMB کنند:
منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.