مطالب مطالب

آسیب‌پذیری روز صفرم پروتکل SMB ویندوز

این آسیب‌پذیری به هکرهای راه دور اجازه میدهد تا شرایط رد سرویس (DoS)  را روی تعدادی از نسخه‌های ویندوز کلاینت راه‌اندازی کند.
سازمان‌های مختلفی از جمله US-CERT در مورد باگ تخریب حافظه روز صفرم در چندین نسخه از ویندوزهای مایکروسافت هشدار دادند که میتواند به هکرهای راه دور این امکان را بدهد که, یک سیستم آسیب‌پذیر ایجاد نمایند تا این سیستم کرش کرده و یا راه‌اندازی مجدد شود.
کد اثبات مفهوم  جهت بهره‌برداری از این آسیب‌پذیری, هم‌اکنون در سایت Github قرار گرفته و در دسترس عموم افرادی که بخواهند از آن استفاده کنند، قرار گرفته است. تاکنون  هیچ وصله‌ای جهت این آسیب‌پذیری که تهدیدی جهت کسب‌وکارهای کوچک و کاربران خانگی محسوب می‌شود, وجود ندارد.
واحد Cert دانشگاه کارنگی ملون در یک هشدار (http://www.kb.cert.org/vuls/id/867968) بیان کرد که: "این مشکل به دلیل روش خاصی هست که تعدادی از نسخه‌های ویندوز، به ترافیک Server Message Block (SMB) رسیدگی می‌کنند". هکرها میتوانند با  ارسال پیام دستکاری شده خاصی از طرف سرورهای مخرب, شرایط سرریز بافر را روی سیستم‌های آسیب‌پذیر بوجود آورده و باعث شوند که این سیستم‌ها، کراش کنند. آنها اضافه کردند که چندین روش در اختیار هکرها میباشد تا به سیستم مشتری ویندوز به‌منظور اتصال آن به یک سرور SMB مخرب, دسترسی پیدا کنند. بعضی اوقات ممکن است این اتفاق بدون هیچ تعاملی با کاربر صورت گیرد.
پروتکل اشتراک فایل SMB  مایکروسافت (https://technet.microsoft.com/en-us/library/hh831795.aspx) به کلاینت‌های ویندوز این اجازه را میدهد که درخواست سرویس بدهند و فایل‌ها را از ویندوز سرور از طریق شبکه، بخوانند و یا بنویسند. این موضوع در طول سال‌ها، منبع مشکلات امنیتی متعددی بوده است.
سخنگوی مایکروسافت شدت این مشکل را کم اهمیت جلوه داده و طی بیانیه‌ای می‌گوید که: "ویندوز فقط یک پلت‌فرمی هست که با همکاری مشتریان همراه میباشد تا گزارش مشکلات امنیتی را بررسی کرده و در اسرع وقت، دستگاهای تحت تاثیر را به‌روزرسانی کند". وی در ادامه میگوید: "سیاست استاندارد ما در مورد مسائل کم خطر این است که با استفاده از به‌روزرسانی حاضر برنامه سوم  خود، این خطر را رفع کنیم".
یوهانس یولریچ  رئیس Internet Storm Center در موسسه SANS میگوید او به‌طور کامل تست کرده هست که سیستم‌های وصله‌دار ویندوز 10 که مفهوم اثبات کد، استفاده میکنند، سریعا یک صفحه آبی مرگ (blue screen of death) برای آنها ظاهر میشود. وی می‌گوید به نظر می‌رسد تمامی ویندوزهای کلاینت که SMBv3 را حمایت میکنند مانند Windows 2012 and 2016, برای سوءاستفاده، آسیب‌پذیر میباشند.
یولریچ به سایت DarkReading  می‌گوید: "این باگ, باگ رد سرویس هست. اگر سیستمی مورد سوءاستفاده قرار گیرد, سیستم راه‌اندازی مجدد می‌شود". این باگ به نظر نمی‌رسد که راهی برای هکرها ایجاد کند که به‌وسیله آن کدی را اجرا نمایند یا شرایط رد سرویس را راه‌اندازی نمایند.
یولریچ میگوید: "بهره‌برداری از آسیب‌پذیری آسان است. هکر میتواند با استفاده از این بهره‌برداری, یک سرور SMBv3 راه‌اندازی نماید سپس قربانی را تحریک کند تا به آن متصل شود". او میگوید: "راحت‌ترین راه برای تحقق این راهکار, قرار دادن لینک URL سروری در صفحه‌وب است".
URL ممکن است مشابه ipc$\192.0.2.1\\ باشد که 192.0.2.1 آدرس IP سرور می‌باشد. تگ تصویر مشابه <img src=”[malicious url]”> هست و باعث این سوءاستفاده می‌شود.
یولریچ میگوید: "آسیب‌پذیری دلیل دیگری است که لازم است اتصالات SMB خروجی از طریق بلاک‌کردن پورت‌های 445 135, و 139 ، مسدود شود". بسیاری از شبکه‌ها، این پورت‌های خروجی را نمیبندند که علاوه بر این حمله, امکان حملات دیگر را نیز فراهم میکنند.
وی اشاره میکند که کاربران کسب وکارهای کوچک و خانگی در مقایسه با سازمان‌ها، بیشتر تحت تاثیر این موضوع قرار می‌گیرند چون فایروال‌های کسب‌وکارهای کوچک و خانگی, معمولا به‌صورت پیش‌فرض این اتصالات را مسدود نمیکنند.
CERT در راهنمای امنیتی خود میگوید که در حال حاضر از "راه‌حلی عملی" جهت رفع این مشکل بی‌اطلاع هست و از سازمان‌ها خواسته است که اتصالات خروجی SMB از شبکه‌های محلی به شبکه‌های گسترده در پورت‌های TCP، 139 و 445 و در پورت‌های UDP، 137 و 138  مسدود کنند.
موضوعات مرتبط:
1.    New SMB Relay Attack Steals User Credentials Over Internet
2.    Google Warns Of Windows Zero-Day Under Attack
3.    Microsoft Fires Back At Google For Windows 0-Day Disclosure

تصاویر مرتبط
تاریخ انتشار مطلب: 23 فروردین 1396
بازدید ها: 614