آسیب پذیری در پروتکل SMB

آسیب پذیری در پروتکل SMB
اخباری مبنی بر آسیب پذیری در پروتکل SMB CVE-2020-0796 RCE در سیستم عامل های ویندوز ۱۰ و ویندوز سرور منتشر شده است و بر پروتکل Microsoft Block Server 3.1.1 (SMBv3) تأثیر می گذارد. طبق گفته مایکروسافت ، یک مهاجم می تواند از این آسیب پذیری برای اجرای کد دلخواه در سمت سرور SMB یا مشتری SMB سوء استفاده کند. برای حمله به سرور ، می توان به سادگی یک بسته ویژه ایجاد شده را برای آن ارسال کرد. درمورد مشتری ، مهاجمان باید پیکربندی یک سرور SMBv3 مخرب را تنظیم کرده و کاربر را متقاعد کنند که به آن متصل شود.
کارشناسان امنیت سایبری معتقدند از این آسیب پذیری در پروتکل SMB می توان برای راه اندازی کرم (Worm) مشابه WannaCry استفاده کرد. مایکروسافت این آسیب پذیری را بسیار مهم می داند ، بنابراین باید هر چه سریع تر آن را ببندید.

 

چه کسانی در معرض خطر هستند؟

 

SMB یک پروتکل شبکه برای دسترسی از راه دور به پرونده ها ، چاپگرها و دیگر منابع شبکه است. برای پیاده سازی ویژگی های Microsoft Windows Network و File و Printer Sharing استفاده می شود. اگر شرکت شما از این توابع استفاده می کند ، میتواند نگران کننده باشد.

Microsoft Server Block 3.1.1 پروتکل نسبتاً جدیدی است که فقط در سیستم عاملهای جدید مورد استفاده قرار می گیرد:

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

این آسیب پذیری در پروتکل SMB، روی ویندوز ۷ ، ۸ ، ۸٫۱ یا نسخه های قدیمی تر تأثیر نمی گذارد. با این حال ، اکثر رایانه های مدرن با نصب خودکار به روزرسانی ها ، ویندوز ۱۰ را اجرا می کنند، بنابراین به احتمال زیاد بسیاری از رایانه های خانگی و شرکتی آسیب پذیر هستند.

آیا مهاجمین از CVE-2020-0796 سوء استفاده می کنند؟

 

طبق گفته مایکروسافت ، آسیب پذیری CVE-2020-0796 هنوز برای حملات مورد استفاده قرار نگرفته است – حداقل هنوز کسی تاکنون شاهد چنین حملات نبوده است. اما مشکل اینجاست که هنوز هیچ وصله ای برای CVE-2020-0796 موجود نیست. در همین حال ، اطلاعات مربوط به آسیب پذیری از ۱۰ مارس در حوزه عمومی موجود است ، بنابراین ممکن است سوءاستفاده ها در هر لحظه ظاهر شود ، در صورتی که قبلاً اینگونه نبوده اند.

چه باید کرد؟

 

بروزرسانی ۱۲ مارس: مایکروسافت یک بروزرسانی امنیتی منتشر کرده است که این آسیب پذیری در پروتکل SMB، را برطرف می کند. این بروزرسانی را از اینجا دریافت نمایید.

و یا در صورت عدم دسترسی به این وصله ، باید آسیب پذیری را ببندید و این امر نیاز به راه حل دارد. مایکروسافت موارد زیر را برای جلوگیری از سوء استفاده از این آسیب پذیری ارائه می دهد.

برای SMB سرورها:

 

  • با استفاده از دستور PowerShell می توانید سوء استفاده از آسیب پذیری را مسدود کنید:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

  • برای SMB کلاینت:

مانند WannaCry، مایکروسافت پیشنهاد می کند پورت TCP 445 را در فایروال محیط شرکت ببندید.

همچنین ، حتما از یک راه حل امنیتی قابل اعتماد مانند Kaspersky Endpoint Security for Business استفاده کنید. این محصول، در میان فن آوری های دیگر، از یک سیستم فرعی پیشگیری بهره برداری استفاده می کند که از نقاط پایانی – حتی از آسیب پذیری های ناشناخته – محافظت می کند.

برای کسب اطلاعات بیشتر با کارشناسان ما تماس بگیرید!

منبع : https://www.kaspersky.com/blog/smb/

تهیه شده توسط : حسام اصغری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *