کشف آسیبپذیری امنیتی جدید در ویندوز
محققان امنیتی از آسیبپذیری جدیدی در ویندوز خبر دادند که مجرمان سایبری با سوءاستفاده از آن توانایی اجرای حملههای خطرناک را خواهند داشت. محققان، اجرای حملههایی با قابلیت تکرار خودکار همچون Wannacry و NotPetya را با سوءاستفاده از آسیبپذیری جدید ممکن میدانند. چنین حملههای سایبری میتوانند شبکههای کسبوکاری در سرتاسر جهان را فلج کنند.
آسیبپذیری جدید امنیتی در ویندوز در نسخهی ۳/۱/۱ از سرویس Server Message Block دیده شد. سرویس مذکور، برای اشتراک فایل و پرینتر و منابع دیگر در شبکههای محلی یا اینترنت استفاده میشود. مجرمان سایبری که توانایی سوءاستفاده از آسیبپذیری را داشته باشند، با استفاده از آن کدهای موردنظر خود را در سرورها و کامپیوترهای دیگر موجود در شبکه اجرا میکنند. مایکروسافت وجود آسیبپذیری را تأیید کرده و یک اطلاعیهی مشاورهای پیرامون آن ارائه داده است.
آسیبپذیری موجود بهنام CVE-2020-0796 ثبت شد که ویندوز ۱۰ را در نسخههای ۱۹۰۳ و ۱۹۰۹ تحت تأثیر قرار میدهد. بهعلاوه، ویندوز سرور نسخههای ۱۹۰۳ و ۱۹۰۹ نیز در معرض تهدید هستند. نسخههای مذکور، جدیدترین نسخهها از سیستمعامل مایکروسافت هستند که شرکت، هزینههای سنگینی برای جلوگیری از حملههای اینچنینی در آنها متحمل شده است. هنوز هیچ بستهی امنیتی برای حل مشکل آسیبپذیری وجود ندارد و سند جدید ردموندیها نیز اطلاعاتی از زمانبندی عرضهی بستهی امنیتی ارائه نمیکند. سخنگوی مایکروسافت هم در پاسخ به رسانهها گفت که بهجز متن توصیهنامه فعلا هیچ اطلاعیهای از شرکت وجود ندارد.
مایکروسافت به کاربران اعلام کرد که تا زمان عرضهی بستهی امنیتی میتوانند با مسدود کردن قابلیت فشردهسازی در سرورها، جلوی سوءاستفادهی مجرمان سایبری را بگیرند. مسدود کردن فشردهسازی باعث میشود تا مجرمان نتوانند از آن برای تهدید سرورهای SMBv3 سوءاستفاده کنند. کاربران میتوانند برای غیرفعال کردن فشردهسازی بدون نیاز به راهاندازی مجدد سرور، دستور زیر را در PowerShell اجرا کنند:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
اگر کامپیوترهای شخصی یا سرورها به سرویس آلودهی SMB متصل شوند، کد بالا راهکاری برای امنیت آنها نخواهد بود. البته درصورت رخ دادن چنین اتفاقی، حملهها بهصورت بدافزار اتفاق نمیافتد. مایکروسافت همچنین پیشنهاد میکند تا کاربران پورت ۴۴۵ را مسدود کنند. پورت ۴۴۵ برای انتقال ترافیک SMB بین کامپیوترها استفاده میشود.
هشدارهایی که حذف شدند
شرکت امنیتی Fortiet ابتدا یک متن توصیهنامه برای آسیبپذیری جدید منتشر و سپس آن را پاک کرد. آنها آسیبپذیری جدید را بهنام MS.SMB.Server.Compression.Transform.Header.Memory.Corruption معرفی کردند و آن را نتیجهی فشار بیش از حد بر بافر در سرورهای Microsoft SMB دانستند. در بخشی از سند گروه مذکور نوشته شده بود:
آسیبپذیری بهخاطر خطایی ایجاد میشود که نرمافزار آسیبپذیر در زمان مدیریت پکت دادهی فشردهشدهی مخرب تجربه میکند. یک مجرم سایبری بدون دسترسی تأییدشده میتواند از این آسیبپذیری از راه دور سوءاستفاده و کدهای جانبی مخرب را در بدنهی اپلیکیشن اجرا کند.
تیم امنیتی Talos در سیسکو نیز توصیهنامهی امنیتی پیرامون آسیبپذیری جدید ویندوز منتشر کرده بود، اما بعدا آن را پاک کرد. آنها از اصطلاح Wormable برای توصیف آسیبپذیری استفاده کردند. این اصطلاح یعنی مجرمان میتوانند با یک بار نفوذ به یک سیستم مخرب، مجموعهای زنجیرهوار از حملهها تشکیل دهند که امکان نفوذ از یک ماشین آسیبیپذیر را به ماشین آسیبپذیر بعدی ممکن میکند و هیچ نیازی هم به دستوری ازطرف ادمین یا کاربر سیستم آلوده ندارد.
در بخشی از توصیهنامهی تیم امنیتی Talos نوشته شده بود:
مجرم سایبری میتواند با ارسال یک پکت آلوده به سرور هدف SMBv3 از آسیبپذیری سوءاستفاده کند. قربانی باید به این سرور متصل باشد تا حمله بهصورت کامل انجام شود. کاربران باید فشردهسازی SMBv3 را غیرفعال و پورت TCP 445 را نیز در فایروالها و کامپیوترهای کاربر مسدود کنند. سوءاستفاده از آسیبپذیری، یک حملهی کرمی را ایجاد میکند، یعنی مجرمان میتوانند از یک کامپیوتر قربانی به دیگری نفوذ کنند.
مایکروسافت با اجرای SMBv3 مجموعهای از راهکارها را پیادهسازی میکند تا پروتکل، هرچه بیشتر برای کامپیوترهای ویندوزی امن باشد. بهروزرسانی مذکور پس از حملههای Wannacry و NotPetya کاربرد گستردهتری پیدا کرد. این دو بدافزار ابتدا توسط آژانس امنیت ملی NSA طراحی شده بودند و بعدا مجرمان سایبری آنها را بهسرقت بردند. حملهای که با بهرهبرداری از بدافزارها انجام میشد، EternalBlue نام داشت و با سوءاستفاده از SMBv1، قابلیت اجرای کد از راه دور را در سیستم قربانی پیدا میکرد. آن حمله هم توانایی نفوذ از یک کامپیوتر آلوده به دیگری را داشت. مایکروسافت در پاسخ به تهدیدهای پیشآمده، ویندوز ۱۰ و ویندوز سرور ۲۰۱۹ را بسیار امنتر کرد تا در مقابل سوءاستفادههای مشابه، مقاوم باشند.
هنوز مشخص نیست که چرا مایکروسافت جزئیات پراکندهای از آسیبپذیری ارائه میکند یا چرا هردو گروه امنیتی فوق، توصیهنامههای خود را حذف کردهاند.
تحلیل ریسک
آسیبپذیری جدید بهاندازهی واناکرای و ناتپتیا خطرناک نیست
اگرچه آسیبپذیری CVE-2020-0796 جدی و بحرانی تلقی میشود، هنوز نمیتوان آن را در سطح آسیبپذیری SMBv1 دانست که منجر به گسترش واناکرای و ناتپتیا شد. حملههای مذکور، در اثر گسترش عمومی حملهی اترنالبلو توسعه یافتند که سوءاستفاده از سیستمهای قربانی را در سطح فرایندهای کپی و پیست، آسان کرده بود. از دیگر فاکتورهایی که منجر به توسعهی آسیبپذیریها شد، میتوان به استفادهی همهجانبه از SMBv1 در آن زمان اشاره کرد. اکنون SMBv3 کاربرد کمتری نسبت به آن نسخه دارد.
SMB از لایهی امنیتی دیگری نیز بهره میبرد که بهصورت تصادفی، موقعیتهای حافظه را تغییر میدهد. درواقع زمانیکه کد مجرمانه در حافظه بارگذاری میشود و از آسیبپذیری سوءاستفاده میکند، مکان حافظه بهصورت تصادفی تغییر میکند. چنین محافظتی، مجرمان را مجبور میکند تا از دو روش نفوذ پایدار و جامع استفاده کنند. یکی از روشها، از فشار بار بیشازحد روی بافر سوءاستفاده کرده و دیگری، موقعیت حافظهی اجراکنندهی کد مخرب را فاش میکند. گروه هکری Buckeye، گروه حرفهای که ۱۴ ماه پیش از شیوع حملهی اترنالبلو از SMBv1 سوءاستفاده کرده بود، مجبور شد بهخاطر سیستم حفاظتی حافظهی تصادفی، از یک آسیبپذیری افشای اطلاعاتی دیگر سوءاستفاده کند.
جیک ویلیامز، هکر سابق NSA و بنیانگذار شرکت امنیتی Rendition Security در حساب کاربری توییتر خود نوشت که لایههای امنیتی فوق، زمان را برای پیادهسازی حملهی مجرمانه افزایش میدهند. او اعتقاد دارد آسیبپذیری جدید به خطرناکی واناکرای نیست، چون سیستمهای کمتری را تحت تأثیر قرار میدهد و همچنین کدهای آماده برای نفوذ نیز موجود نیستند. بههرحال او میگوید کشف آسیبپذیری دیگر در SMB، دور از انتظار نبود و در آینده هم احتمالا شاهد کشفهای دیگر خواهیم بود.
درنهایت فراموش نکنید که در ماه مه گذشته، آسیبپذیری دیگر با ظرفیتهای سوءاستفادهی کرمی بهنام BlueKeep کشف شد که مایکروسافت بستهی امنیتی آن را عرضه کرد. هنوز هیچگونه سوءاستفاده از آسیبپذیری مذکور گزارش نشده است، اما بههرحال هشدارهایی جدی را بههمراه داشت.
انتشار توصیهنامههای امنیتی و پاک کردن سریع آنها، واکنشهای گستردهای را در توییتر بههمراه داشت. مایکروسافت عموما جزئیات بستههای امنیتی آتی خود را پیش از انتشار با شرکتهای آنتیویروس و سیستمهای مقابله با نفوذ به اشتراک میگذارد. ظاهرا ردموندیها عرضهی بستهی امنیتی SMBv3 را در لحظهی آخر به تأخیر انداختهاند و شرکای امنیتی، اطلاعاتی از آن ندارند. درنهایت صرفنظر از دلیل حذف توصیهنامهها، اطلاعات آسیبپذیری در اینترنت منتشر شده است. کاربرانی که از سرویسهای SMBv3 استفاده میکنند باید در دریافت اخبار پیرامون بهروزرسانیهای امنیتی، هوشیار باشند.