آسیب پذیری مذکور با شماره CVE-2020-0796 در تاریخ 10 مارس 2020 توسط شرکت مایکروسافت منتشر شده است که از نوع RCE میباشد. مهاجم می تواند با ارسال یک پکت خاص به سمت سرور با سرویس دهنده SMBv3 آسیب پذیر، از آن سوءاستفاده نماید. همچنین درمورد کاربران Client، مهاجم باید قربانی را متقاعد کند تا با یک سرور مخرب که توسط مهاجم پیکربندی شده است ارتباط برقرار کند. سوء استفاده مهاجم از این آسیب پذیری به او این امکان را میدهد تا کد دلخواه خود بر روی سیستم قربانی اجرا کند.

بر اساس شواهد به نظر می رسد این نقص ناشی از آسیب پذیری سرریز بافر است که به دلیل خطا در handling پکت های فشرده رخ می دهد. محققان به دلیل شباهت های این آسیب پذیر به آسیب پذیری EternalBlue که اخیرا به طور گسترده مورد استفاده قرار گرفته و مهم ترین آن CVE-2017-0144 بوده که در حملات باج افزار WannaCry مورد استفاده قرار گرفت، این آسیب پذیری را به عنوان EternalDarkness نام گذاری کرده اند.

نسخه های آسیب پذیر

Version product
Version 1903 (Server Core Installation) Windows Server
Version 1909 (Server Core Installation) Windows Server
Version 1903 for 32-bit Systems Windows 10
Version 1903 for ARM64-based Systems Windows 10
Version 1903 for x64-based Systems Windows 10
Version 1909 for 32-bit Systems Windows 10
Version 1909 for ARM64-based Systems Windows 10
Version 1909 for x64-based Systems Windows 10

راه حل

در حال حاضر هیچ وصله امنیتی برای مرتفع سازی این آسیب پذیری منتشر نشده است و مایکروسافت نیز فعلا یک دستورالعمل را به عنوان بخشی از مشاوره امنیتی خود برای پیشگیری از این آسیب پذیری ارائه داده است. این دستورالعمل شامل یک سری از دستورات در محیط PowerShell است که فشرده سازی را برای SMBv3 Server غیر فعال می کند تا مهاجم نتواند از آسیب پذیری سوءاستفاده کند. دستورالعمل به شرح ذیل می باشد.

Set-ItemProperty –Patch “KHLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression –Type DWORD –Value 1 –Force

علاوه بر غیرفعال کردن فشرده سازی ، مایکروسافت توصیه می کند ترافیک ورودی و خروجی درگاه TCP 445را در فایروال ها مسدود شوند.

اگرچه این راه حل ها مانع سوء استفاده از سرور SMBv3 نمی شوند ، توجه به این نکته ضروری است که SMBv3 Client تا زمانی که یک وصله امنیتی برای آن در دسترس نباشد، آسیب پذیر خواهد ماند.

همچنین شما می توانید اطلاعات بیشتری درمورد راه حل های ارائه شده توسط مایکروسافت  را از لینک زیر دریافت نمایید.

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200005

اخبار

microsoftsmbv3

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *