روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ گفته میشود در ویندوز 10 و سیستمعاملهای ویندوز سرور آسیبپذیریِ CVE-2020-0796 پیدا شده که پروتکل SMBv3[1] را تحتالشعاع قرار داده است. به نقل از مایکروسافت، یک مهاجم میتواند این آسیبپذیری را به قصد اجرای کد دلخواه روی سرور SMB یا کلاینت SMBاکسپلویت کند. فرد برای حمله به سرور میتواند براحتی بستهای با ساخت ویژه را برای آن ارسال کند. در مورد کلاینت هم باید گفت، مهاجمین باید سرور آلودهی SMBv3 را تنظیم کرده و کاربر را به اتصال بدان متقاعد کنند. در ادامه با ما همراه شوید تا مبسوط به این آسیبپذیری بپردازیم.
متخصصین امنیت سایبری معتقدند این آسیبپذیری میتواند برای اجرای کرمی مشابه با واناکرای مورد استفاده قرار گیرد. مایکروسافت این آسیبپذیری را بسیار جدی میداند پس باید هر چه زودتر به فعالیت آن خاتمه داد.
چه کسی در خطر است؟
SMB یک پروتکل شبکه برای دسترسی ریموت به فایلها، پرینترها و سایر منابع شبکه بوده و برای پیادهسازی فایل و شبکهی ویندوزی مایکروسافت و قابلیت تقسیم پرینتر مورد استفاده قرار میگیرد. اگر شرکتتان از چنین کارکردهایی استفاده میکند پس احتمالاً در خطر هستید.
SMBv3 پروتکلی نسبتاً تازه است که فقط در سیستمعاملهای جدید استفاده میشود:
- ویندوز 10 نسخه 1903 برای سیستمهای 32 بیتی
- ویندوز 10 نسخه 1903 برای سیستمهای مبتنی بر ARM64
- ویندوز 10 نسخه 1903 برای سیستمهای مبتنی بر x64
- ویندوز 10 نسخه 1909 برای سیستمهای 32 بیتی
- ویندوز 10 نسخه 1909 برای سیستمهای مبتنی بر ARM64
- ویندوز 10 نسخه 1903 (نصب هسته سیستم)
- ویندوز سرور، نسخه 1909 (نصب هسته سیستم)
این آسیبپذیری ویندوز 7، 8، 8.1 یا نسخههای قدیمیتر را درگیر نخواهد کرد. با این حال بیشتر کامپیوترهای مدرن با نصب خودرکار آپدیتها ویندوز 10 را اجرا میکنند؛ بنابراین احتمال دارد بسیاری از کامپیوترها هم خانگی و هم سازمانی آسیبپذیر باشند.
آیا مهاجمین در حال اکسپلویت کردن CVE-2020-0796 هستند؟
بر طبق گفتههای مایکروسافت، آسیبپذیری CVE-2020-0796 هنوز برای حملات مورد استفاده قرار نگرفته است- دستکم کسی هنوز چنین حملاتی را ندیده است اما مشکل اینجاست که هنوز برای آن پچی هم ارائه داده نشده است. این در حالیست که از تاریخ 10 مارس اطلاعاتی پیرامون این آسیبپذیری در عموم پخش شده است؛ بنابراین اکسپلویتها میتوانند هر لحظه پدیدار شوند (اگر تا همین الانش پدیدار نشده باشند).
چه کار باید کرد؟
مایکروسافت آپدیت امنیتی را منتشر کرده است که دقیقاً همین آسیبپذیری را مورد هدف قرار میدهد. وقتی هنوز پچی در کار نیست پس باید جلوی این آسیبپذیری را گرفت و این کار نیازمند یکسری تمهیدات است. این شرکت برای جلوگیری از این آسیبپذیری موارد زیر را پیشنهاد میدهد:
برای سرورهای SMB
شما میتوانید با استفاده از فرمان پاورشل جلوی این آسیبپذیری را بگیرید:
Set-ItemProperty-Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
برای کلاینتهای SMB:
مثل واناکرای، مایکروسافت پورت 445 مسدودکنندهی TCP در فایروال سازمانی را توصیه میکند.
همچنین مطمئن شوید از راهکار امنیتی مطمئنی مانند کسپرسکی اندپوینت سکیوریتی سازمانی استفاده میکنید. این فناوری از میان کلی فناوری دیگر زیرمجوعهی پیشگیرانهای را که وظیفهاش حفاظت از اندپوینتهاست به کار میبندد (حتی پیشگیری از آسیبپذیریهای ناشناخته).
[1]Microsoft Server Message Block 3.1.1
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.