مایکروسافت بهروزرسانی امنیتی اضطراری برای آسیبپذیری جدید ویندوز منتشر کرد
مایکروسافت بستهی امنیتی اورژانسی را برای ویندوز منتشر کرد که خارج از زمانبندی مرسوم بهروزرسانی سیستمعامل به دست کاربران رسید. این بستهی امنیتی برای آسیبپذیری خطرناکی ارائه شد که چندی پیش اخبار انتشار آن به رسانهها رسیده بود. آسیبپذیری مذکور اصطلاحا توانایی گسترش کرمی (Wormable) دارد و از یک سیستم آلوده به سیستم دیگر نفوذ میکند.
حفرهی امنیتی جدید ویندوز، در نسخهی سوم پروتکل Server Message Block موسوم به SMBv3 کشف شد که تنها در نسخههای کلاینت و سرور ویندوز ۱۰ ورژن ۱۹۰۳ و ۱۹۰۹ وجود دارد. اگرچه سوءاستفاده از آسیبپذیری مذکور نیاز به ابزارها و مهارت ویژه دارد؛ اما مایکروسافت و محققان امنیتی مستقل، آن را خطرناک توصیف میکنند. درواقع خطر آسیبپذیری از آنجا نشئت میگرد که مجرمان میتوانند با سوءاستفاده از آن، شبکهای از حملههای کرمی را برنامهریزی کنند. در چنین حملههایی، با نفوذ به یک کامپیوتر میتوان ساختاری ایجاد کرد که تمامی سیستمهای ویندوزی متصل هم بهمرور آلوده شوند. چنین سناریویی در آسیبپذیریهای واناکرای و ناتپتیا در سال ۲۰۱۷ اجرا شد.
مایکروسافت در سند اطلاعرسانی که با بستهی امنیتی منتشر کرد، گفت که تاکنون هیچ مدرکی مبنی بر سوءاستفاده از آسیبپذیری جدید کشف نشده است. البته آنها از برچسب «احتمال سوءاستفاده» برای این آسیبپذری استفاده کردند. بهبیان دیگر مجرمان سایبری احتمالا در آینده از آن سوءاستفاده خواهند کرد.
در بخشی از بولتن اطلاعرسانی مایکروسافت میخوانیم:
یک آسیبپذیری با امکان دسترسی و اجرای کد از راه دور در شیوههای اجرایی و مدیریت ریکوئست های ویژه در پروتکل SMBv3 وجود دارد. مجرم سایبری که توانایی سوءاستفاده از آسیبپذیری را داشته باشد، میتواند کدهای مورد نظر را در کلاینت یا سرور قربانی اجرا کند.مهاجم سایبری برای سوءاسفتاده از آسیبپذیری در سرور میتواند یک پکت ویژه را به سرور SMBv3 هدف ارسال کند. برای سوءاستفاده از آن در سیستمهای کلاینت، مهاجم باید یک سرور SMBv3 آلوده طراحی و قربانی را به اتصال به آن ترغیب کند.بهروزرسانی امنیتی با اصلاح روش مدیریت ریکوئستها در پروتکل SMBv3، سوءاستفاده از آن را غیرممکن میکند.
کمی پس از آنکه مایکروسافت بستهی امنیتی خارج از برنامه را منتشر کرد، محققان شرکت امنیتی Sophos تحقیق عمیقی روی آسیبپذیری داشتند. آنها در بخشی از تحلیل خود نوشتند:
آسیبپذیری شامل سرریز عدد صحیح در یکی از درایورهای کرنل میشود. مهاجم میتواند پکت مخرب را برای سوءاستفاده از همین سرریزها یا شرایط دیگر در کرنل، طراحی کند.
توضیحات فنی گروه Sophos شامل جزئیات زیاد تخصصی میشود. بهبیان ساده میتوان گفت که یک مهاجم سایبری با کد سوءاستفادهی حرفهای شاید بتواند رمزهای عبور و اطلاعات حساس دیگر را بهصورت متن ساده در سیستم قربانی بخواند. در شرایط دیگر مهاجم میتواند یک خط فرمان در سیستم قربانی اجرا کند و کنترل آن را به دست بگیرد. اترنالبلو (EternalBlue) از حملههای مشابهی بود که ابتدا توسط NSA طراحی و بهرهبرداری شد. سپس مجرمان سایبری توانستند حملهی مذکور را از آژانس امنیت ملی ایالات متحده سرقت کنند. بههرحال آن حمله هم از آسیبپذیری SMB سوءاستفاده میکرد و در زمان اجرای تابعی در آن پروتکل ازسوی کاربر، کد مخرب را اجرا میکرد.
روشهای متعدد سوءاستفاده
تحلیل امنیتی گروه Sophos میگوید مجرمان از سه طریق میتوانند از آسیبپذیری سوءاستفاده کنند:
سناریوی اول: مهاجم، فایلهای اشتراکی ماشین را هدف قرار میدهد. اگر یک کاربر یا مدیر سیستم، تنظیمات پیشفرض را برای بازکردن پورت ۴۴۵ تغییر داده یا ویندوز فایروال را غیرفعال کرده باشد، ماشین برای حملههای از راه دور با قابلیت کنترل سیستم توسط مجرم، آسیبپذیر میشود. اگر سیستم در یک دامین ویندوزی هم باشد، احتمال آسیبپذیری افزایش مییابد.
تیم تحقیقاتی SophosLabs در پستی وبلاگی، سوءاستفاده را اینگونه شرح دادند:
سیستمی که پچ امنیتی را دریافت نکند و پورت SMB آسیبپذیر آن به اینترنت عمومی متصل باشد، احتمالا هدفی برای حملهی کرمی مانند واناکرای خواهد بود. نکتهی اصلی این است که مهاجم باید روش سوءاستفادهی بسیار حرفهای طراحی کند تا تمامی راهکارهای امنیتی مایکروسافت در ویندوز ۱۰ را دور بزند. بهعلاوه کامپیوتر هدف هم باید پورت 445/tcp را برای تمامی اتصالها از بیرون، باز گذاشته باشد. نیاز به همهی این شرایط باعث کاهش اثرگذاری آسیبپذیری میشود.
سناریوی دوم: مهاجم، کاربر را ترغیب به اتصال به یک سرور مخرب میکند. او میتواند با سوءاستفاده از پیامها اسپم حاوی لینک اتصال، چنین اقدامی را انجام دهد. وقتی قربانی روی لینک موجود در پیام اسپم کلیک میکند، به سرور مخرب متصل میشود. سپس مهاجم کنترل کل ماشین را در دست میگیرد. در نمونهای دیگر، مهاجم که دسترسی نسبی به یک شبکه دارد، یکی از دستگاههای مورد اعتماد در سازمان را آلوده میکند. سپس ماشینهایی که با استفاده از پروتکل SMBv3 به ماشین آلوده متصل میشوند، در معرض خطر قرار میگیرند.
وقتی دو روش ذکر شده در پاراگراف بالا با هم ترکیب شوند، مهاجم میتواند به یک شبکهی هدف دسترسی اولیه پیدا کند و سپس به کامپیوترهای حساستر با دسترسیهای بیشتر وارد شود. تنها نکتهی منفی و مانع بر سر راه مهاجم این است که باید مهندسی اجتماعی را برای فریب دادن کاربر هدف، بهکار بگیرد.
سناریوی سوم: مهاجمی که ازطریق روشهای متنوع دسترسی اولیهی محدودی به یک کامپیوتر آسیبپذیر پیدا میکند، از آسیبپذیری SMBv3 برای اجرای کدهای مخرب استفاده میکند که حقوق سیستمی مشابهی با کاربر هدف دارند. از آن مرحله، مهاجمان احتمالا میتوانند دسترسی خود را به سطح سیستمی افزایش دهند.
سپرهای امنیتی ویندوز ۱۰، سوءاستفاده از آسیبپذیری پروتکل SMBv3 را دشوار میکنند
محققان Sophos و دیگر منابع تحلیلی امنیتی تأکید میکنند که رویکردهای امنیتی پیچیدهی مایکروسافت در ویندوز ۱۰، سوءاستفاده از آسیبپذیری امنیتی جدید را برای مجرمان سایبری دشوار میکند. رویکردهای مذکور، حتی در زمان حملهی سایبری منجر به توقف فعالیت سیستم میشوند تا به کاربر یا مدیر سیستم، هشدار لازم را مبنی بر نفوذ سایبری ارائه کنند. البته وجود سپرهای امنیتی بدین معنی نیست که سوءاستفاده از آسیبپذیری SMBv3 اصلا رخ نمیدهد. مهندسی معکوس بستهی امنیتی جدید مایکروسافت در ترکیب با دیگر تواناییهای نفوذ سایبری میتواند سوءاستفاده را برای مجرمان حرفهای ممکن کند.
هر کاربری که از ویندوز ۱۰ استفاده میکند (خصوصا آنهایی که از قابلیتهای اشتراک پرینتر و فایل و منابع دیگر در شبکه استفاده میکنند)، باید هرچه سریعتر بستهی امنیتی جدید را دریافت و نصب کند. برای آن دسته از کاربرانی که قادر به نصب بستهی امنیتی نیستند، راهکارهای کاهش ریسک جایگزین مانند غیرفعالسازی فشردهسازی در SMB و مسدود کردن پورت ۴۴۵ برای دسترسی خارجی اینترنتی پیشنهاد میشود. محققان امنیتی، راهکار دوم را از مدتها پیش برای جلوگیری از انواع حملهها پیشنهاد میدهند. از راهکاهای دیگر میتوان به مسدود کردن پورت ۴۴۵ در داخل یک شبکهی محلی اشاره کرد. البته Sophos میگوید این راهکار عواقبی را هم از لحاظ ارتباط داخلی بههمراه دارد.
پورت 445 TCP تنها برای کاربردهای SMB استفاده نمیشود و بخشهای حیاتی دیگر در ویندوز دامین هم از آن بهره میبرند. بهترین راهکار مقابله، نصب بستهی امنیتی است.
مایکروسافت ابتدا آسیبپذیری امنیتی را آنچنان جدی نگرفته بود و زمانبندی خاصی هم برای ارائهی بستهی امنیتی اعلام نکرد. اکنون بهنظر میرسد احتمال سوءاستفاده از آسیبپذیری افزایش پیدا کرده باشد که ردموندیها مجبور به انتشار بستهی اورژانسی شدهاند.