محققان Ricerca Security اقدام به انتشار نسخهای نمایشی (Demo) از نمونه اثباتگر (Proof-of-Concept) آسیبپذیری SMBv۳ به حملات “اجرای کد بهصورت از راه دور” (Remote Code Execution) کردهاند. رخدادی که اهمیت نصب فوری اصلاحیه این باگ امنیتی را بیش از قبل پررنگ میکند.
آسیبپذیری مذکور که به SMBGhost معروف شده ضعفی در نسخه ۳,۱.۱ پودمان Server Message Block – به اختصار SMBv۳ – است که سیستمهای عامل زیر از آن تأثیر میپذیرند:
• Windows ۱۰ Version ۱۹۰۳ for ۳۲-bit
• Windows ۱۰ Version ۱۹۰۳ for x۶۴-based
• Windows ۱۰ Version ۱۹۰۳ for ARM۶۴-based
• Windows Server, Version ۱۹۰۳ (Server Core installation)
• Windows ۱۰ Version ۱۹۰۹ for ۳۲-bit
• Windows ۱۰ Version ۱۹۰۹ for x۶۴-based
• Windows ۱۰ Version ۱۹۰۹ for ARM۶۴-based
• Windows Server, Version ۱۹۰۹ (Server Core Installation)
بهرهجویی (Exploit) از SMBGhost امکان “اجرای کد بهصورت از راه دور” بر روی دستگاه آسیبپذیر را، بدون نیاز به اصالتسنجی شدن مهاجم فراهم میکند.
مهاجم میتواند با ارسال بستهای دستکاری شده به یک سرویسدهنده SMBv۳ اقدام به بهرهجویی از SMBGhost بر روی آن سرور کند. برای سوءاستفاده از آسیبپذیری بر روی Windows ۱۰ نیز مهاجم قادر است تا با راهاندازی یک سرویسدهنده مخرب SMBv۳ و تشویق کاربر به اتصال به آن، بدون احراز هویت شدن کد مورد نظر خود را بر روی دستگاه با این سیستم عامل به اجرا در آورد.
در ابتدا انتظار میرفت که این ضعف امنیتی که به آن شناسه CVE-۲۰۲۰-۰۷۹۶ و درجه حساسیت “حیاتی” (Critical) تخصیص داده شده توسط مجموعه اصلاحیههای ماه مارس Microsoft که ۲۰ اسفند عرضه شدند ترمیم شود. در آن تاریخ تعدادی از شرکتهایی که عضو برنامه Microsoft Active Protections Program هستند و به اطلاعات مربوط به آسیبپذیریها زودتر از سایرین دسترسی دارند با تصور ارائه شدن اصلاحیه این ضعف امنیتی از سوی Microsoft، اقدام به انتشار جزییات ضعف مذکور کردند.
پس از در دسترس قرار گرفتن چند نمونه اثباتگر از جمله نمونهای که در آن امکان از کاراندازی سرویس (Denial-of-Service) از طریق سوءاستفاده از SMBGhost را نمایش میداد، شرکت Microsoft در ۲۲ اسفند اقدام به انتشار اصلاحیه امنیتی برای تمامی سیستمهای عامل آسیبپذیر به CVE-۲۰۲۰-۰۷۹۶ کرد.
در آن زمان بررسی شرکت Kryptos Logic نشان میداد که حدود ۴۸ هزار سیستم آسیبپذیر به SMBGhost بر روی اینترنت قابل دسترس است.
پس از آن نیز نمونههای اثباتگر و گزارشهای متعددی در خصوص “ترفیع سطح دسترسی محلی” (Local Privilege Escalation) با بهرهجویی از SMBGhost بهصورت عمومی در دسترس عموم قرار گرفت.
اما با این حال تا همین اندکی پیش، هیچ نمونهای که در عمل اجرای “کد بهصورت از راه دور” را با بهرهجویی از CVE-۲۰۲۰-۰۷۹۶ اثبات کند ارائه نشده بود.
شاید یکی از اصلیترین دلایل آن دشوار بودن بهرهجویی از راه دور در سطح هسته (Remote Kernel Exploitation) که در آن امکان بکارگیری توابع کاربردی سیستم عامل نظیر ایجاد پروسههای در کنترل کاربر، ارجاع به بستر PEB و صدور فراخوانیهای سیستمی میسر نیست در مقایسه با بهرهجوییهای موسوم به Local Exploitation بوده باشد.
اکنون اما انتشار نسخه نمایشی Ricerca Security که در ویدئوی زیر قابل مشاهده است بهرهجویی “اجرای کد به صورت از راه دور” ممکنتر از قبل به نظر میرسد:
https://vimeo.com/۴۰۹۸۵۵۵۷۸
اگر چه Ricerca Security بجای انتشار عمومی نمونه اثباتگر به ارائه این نسخه نمایشی و جزییات فنی آن اکتفا کرده تا به قول این شرکت به ابزاری در دست افراد ناپاک تبدیل نشود اما همانطور که Microsoft نیز در توصیهنامه خود به آن اشاره دارد امکان مورد سوءاستفاده قرار گرفتن CVE-۲۰۲۰-۰۷۹۶ بسیار محتمل (More Likely) است.
لذا اگر تا بحال نصب اصلاحیه آسیبپذیری مذکور انجام نشده توصیه اکید میشود تا برای در امان ماندن از گزند حملات بالقوه در اسرع وقت نسبت به انجام آن اقدام شود.
چنانچه به هر دلیل امکان بهروزرسانی در حال حاضر فراهم نیست، غیرفعال کردن Compression در SMBv۳ که در توصیهنامه زیر به آن پرداخته شده میتواند راهکاری موقت برای پوشش این آسیبپذیری صرفاً بر روی سرورها باشد:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-۲۰۲۰-۰۷۹۶
سازمانهای مجهز به راهکارهای دیواره آتش نیز میتوانند با مطالعه مقاله فنی زیر اقدام به مقاومسازی درگاههای مرتبط با پودمان SMB کنند:
https://support.microsoft.com/en-us/help/۳۱۸۵۵۳۵/preventing-smb-traffic-from-lateral-connections
منبع :