مایکروسافت بسته امنیتی بسیار مهمی را برای پروتکل SMBv3 منتشر کرده است. اخیراً یک مشکل امنیتی بسیار خطرناک در این پروتکل مشاهده شده است که به مهاجمان اجازه می دهد کرم های مخرب ایجاد کنند که پس از آلوده کردن یک سیستم، سایر سیستم های متصل به آن شبکه را نیز آلوده می کنند.
این آسیب پذیری با شماره CVE-2020-0796 ثبت شده است و می توانید با این شماره آن را جستجو کنید. این یک آسیب پذیری در اجرای کد از راه دور است که ویندوز 10 1909 و 1903 و ویندوز سرور 1903 و 1909 را تحت تأثیر قرار می دهد.
پروتکل SMB روی پورت 445 TCP اجرا می شود و پروتکلی است که برای اشتراک گذاری فایل ها، چاپگرها، پورت های سریال و سایر منابع در شبکه طراحی شده است. این پروتکل در سیستم های ویندوز استفاده می شود.
یک بسته امنیتی برای آخرین آسیب پذیری ها با کد KB4551762 در سایت مایکروسافت موجود بوده و اکنون در دسترس است. روش کار فعلی پروتکل SMBv3 این است که درخواستها را با فشردهسازی هدرها مدیریت میکند، که به مهاجم ناشناس اجازه میدهد کد خطرناکی را هم در سمت سرور و هم در سمت کاربر با دسترسی SYSTEM اجرا کند.
مایکروسافت اکیداً توصیه میکند که قبل از بهروزرسانی به آخرین سرویس بهروزرسانی پشته، Servicing Stack Update-SSU را برای سیستم عامل خود نصب کرده، سپس آخرین آخرین بهروزرسانی تجمعی باقیمانده – LCU را نصب کنید. SSU قابلیت اطمینان فرآیند بهروزرسانی را برای کاهش مشکلات احتمالی در حین نصب LCU و استفاده از رفعهای امنیتی مایکروسافت بهبود میبخشد. اگر از Windows Update برای به روز رسانی استفاده می کنید، آخرین به روز رسانی SSU – KB4541338 به طور خودکار پیشنهاد می شود. برای نصب جداگانه این بسته، کاتالوگ مایکروسافت به روز رسانی را جستجو کنید.
ویندوز 10 و ویندوز سرور اخیراً یک باگ داشتند که با به روز رسانی فشرده سازی هدرها برطرف شد. فشردهسازی هدرها بهعنوان یک ویژگی جدید در ماه می ۲۰۱۹ به پروتکلهای آسیبدیده ویندوز ۱۰ و ویندوز سرور اضافه شد. این بهروزرسانی برای فشردهسازی اندازه پیامهای رد و بدل شده بین سرور و کاربران متصل به آن طراحی شده است.
به گفته مایکروسافت، برای سوء استفاده از این آسیب پذیری در سرور، یک مهاجم ناشناس بسته های دستکاری شده را به یک سرور SMB هدف ارسال می کند. برای سوء استفاده از آسیبپذیریها در سمت کاربر، یک مهاجم غیرمجاز یک سرور SMB مخرب را راهاندازی و پیکربندی کرده و کاربر را متقاعد میکند تا به آن سرور متصل شود. یک به روز رسانی امنیتی این آسیب پذیری را با اصلاح نحوه رسیدگی پروتکل SMBv3 به این درخواست های دستکاری شده خاص برطرف می کند.
در زمان نگارش مقاله، تنها یک اکسپلویت برای بهره برداری از این آسیب پذیری وجود دارد. هکرها از مهندسی معکوس پیشرفته برای تولید بدافزار پیشرفته و یافتن بردارهای حمله احتمالی استفاده می کنند. تا به امروز، نزدیک به 48000 سیستم ویندوز در برابر آخرین آسیب پذیری های فشرده سازی SMB آسیب پذیر بوده و از طریق اینترنت قابل دسترسی هستند.
بسته بهروزرسانی اشکال امنیتی SMBv3 Wormable اکنون برای نسخههای آسیبدیده در دسترس است و اکیداً توصیه میشود که این بهروزرسانی را در اسرع وقت نصب کنید. اگر نصب فوری این بسته امنیتی را ندارید، توصیه میشود حداقل سرویس SMB یا ویژگی فشردهسازی آن را غیرفعال کرده و پورتهای SMB را برای ترافیک ورودی و خروجی ببندید تا از دسترسی از راه دور جلوگیری کنید.
آخرین مشکل امنیتی پروتکل SMB نسخه 3 این پروتکل است و روی ویژگی فشرده سازی Packets کار می کند. این ویژگی اخیرا برای بهبود عملکرد پروتکل به ویندوز اضافه شده است.
یک مهاجم به طور غیرمجاز بسته های دستکاری شده را به سرور SMB ارسال کرده یا یک سرور SMB آلوده را برای اتصال کاربر راه اندازی می کند.
فقط ویندوز خود را از Windows Update ارتقا دهید. اگر از WSUS در شبکه خود استفاده می کنید، حتما سرور WSUS را با آخرین به روز رسانی همگام سازی کرده و آخرین به روز رسانی ها را روی سیستم کاربر نصب کنید.
ویندوز 10 نسخه 1909 و 1903 و ویندوز سرور نسخه 1909 و 1903
در سایت مایکروسافت به طور کامل نحوه فعال و غیرفعال کردن تمامی نسخه های SMB در تمامی نسخه های ویندوز توضیح داده شده است.