کشف آسیب‌پذیری امنیتی جدید در ویندوز

به گزارش اقتصاد نیوز به نقل از زومیت، محققان امنیتی از آسیب‌پذیری جدیدی در ویندوز خبر دادند که مجرمان سایبری با سوءاستفاده از آن توانایی اجرای حمله‌های خطرناک را خواهند داشت. محققان، اجرای حمله‌هایی با قابلیت تکرار خودکار همچون Wannacry و NotPetya را با سوءاستفاده از آسیب‌پذیری جدید ممکن می‌دانند. چنین حمله‌های سایبری می‌توانند شبکه‌های کسب‌وکاری در سرتاسر جهان را فلج کنند.

آسیب‌پذیری جدید امنیتی در ویندوز در نسخه‌ی ۳/۱/۱ از سرویس Server Message Block دیده شد. سرویس مذکور، برای اشتراک فایل و پرینتر و منابع دیگر در شبکه‌های محلی یا اینترنت استفاده می‌شود. مجرمان سایبری که توانایی سوءاستفاده از آسیب‌پذیری را داشته باشند، با استفاده از آن کدهای موردنظر خود را در سرورها و کامپیوترهای دیگر موجود در شبکه اجرا می‌کنند. مایکروسافت وجود آسیب‌پذیری را تأیید کرده و یک اطلاعیه‌ی مشاوره‌ای پیرامون آن ارائه داده است.

آسیب‌پذیری موجود به‌نام CVE-2020-0796 ثبت شد که ویندوز ۱۰ را در نسخه‌های ۱۹۰۳ و ۱۹۰۹ تحت تأثیر قرار می‌دهد. به‌علاوه، ویندوز سرور نسخه‌های ۱۹۰۳ و ۱۹۰۹ نیز در معرض تهدید هستند. نسخه‌های مذکور، جدیدترین نسخه‌ها از سیستم‌عامل مایکروسافت هستند که شرکت، هزینه‌های سنگینی برای جلوگیری از حمله‌های این‌چنینی در آن‌ها متحمل شده است. هنوز هیچ بسته‌ی امنیتی برای حل مشکل آسیب‌پذیری وجود ندارد و سند جدید ردموندی‌ها نیز اطلاعاتی از زمان‌بندی عرضه‌ی بسته‌ی امنیتی ارائه نمی‌کند. سخنگوی مایکروسافت هم در پاسخ به رسانه‌ها گفت که به‌جز متن توصیه‌نامه فعلا هیچ اطلاعیه‌ای از شرکت وجود ندارد.

مایکروسافت به کاربران اعلام کرد که تا زمان عرضه‌ی بسته‌ی امنیتی می‌توانند با مسدود کردن قابلیت فشرده‌سازی در سرورها، جلوی سوءاستفاده‌ی مجرمان سایبری را بگیرند. مسدود کردن فشرده‌سازی باعث می‌شود تا مجرمان نتوانند از آن برای تهدید سرورهای SMBv3 سوءاستفاده کنند. کاربران می‌توانند برای غیرفعال کردن فشرده‌سازی بدون نیاز به راه‌اندازی مجدد سرور، دستور زیر را در PowerShell اجرا کنند:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

امنیت در فیسبوک

اگر کامپیوترهای شخصی یا سرورها به سرویس آلوده‌ی SMB متصل شوند، کد بالا راهکاری برای امنیت آن‌ها نخواهد بود. البته درصورت رخ دادن چنین اتفاقی، حمله‌ها به‌صورت بدافزار اتفاق نمی‌افتد. مایکروسافت همچنین پیشنهاد می‌کند تا کاربران پورت ۴۴۵ را مسدود کنند. پورت ۴۴۵ برای انتقال ترافیک SMB بین کامپیوترها استفاده می‌شود.

هشدارهایی که حذف شدند

شرکت امنیتی Fortiet ابتدا یک متن توصیه‌نامه برای آسیب‌پذیری جدید منتشر و سپس آن را پاک کرد. آن‌ها آسیب‌پذیری جدید را به‌نام MS.SMB.Server.Compression.Transform.Header.Memory.Corruption معرفی کردند و آن را نتیجه‌ی فشار بیش از حد بر بافر در سرورهای Microsoft SMB دانستند. در بخشی از سند گروه مذکور نوشته شده بود:

آسیب‌پذیری به‌خاطر خطایی ایجاد می‌شود که نرم‌افزار آسیب‌‌پذیر در زمان مدیریت پکت داده‌ی فشرده‌شده‌ی مخرب تجربه می‌کند. یک مجرم سایبری بدون دسترسی تأییدشده می‌تواند از این آسیب‌پذیری از راه دور سوءاستفاده و کدهای جانبی مخرب را در بدنه‌ی اپلیکیشن اجرا کند.

تیم امنیتی Talos در سیسکو نیز توصیه‌نامه‌ی امنیتی پیرامون آسیب‌پذیری جدید ویندوز منتشر کرده بود، اما بعدا آن را پاک کرد. آن‌ها از اصطلاح Wormable برای توصیف آسیب‌پذیری استفاده کردند. این اصطلاح یعنی مجرمان می‌توانند با یک بار نفوذ به یک سیستم مخرب، مجموعه‌ای زنجیره‌وار از حمله‌ها تشکیل دهند که امکان نفوذ از یک ماشین آسیبی‌پذیر را به ماشین آسیب‌پذیر بعدی ممکن می‌کند و هیچ نیازی هم به دستوری ازطرف ادمین یا کاربر سیستم آلوده ندارد.

در بخشی از توصیه‌نامه‌ی تیم امنیتی Talos نوشته شده بود:

مجرم سایبری می‌تواند با ارسال یک پکت آلوده به سرور هدف SMBv3 از آسیب‌پذیری سوءاستفاده کند. قربانی باید به این سرور متصل باشد تا حمله به‌صورت کامل انجام شود. کاربران باید فشرده‌سازی SMBv3 را غیرفعال و پورت TCP 445 را نیز در فایروال‌ها و کامپیوترهای کاربر مسدود کنند. سوءاستفاده از آسیب‌پذیری، یک حمله‌ی کرمی را ایجاد می‌کند، یعنی مجرمان می‌توانند از یک کامپیوتر قربانی به دیگری نفوذ کنند.

hack

مایکروسافت با اجرای SMBv3 مجموعه‌ای از راهکارها را پیاده‌سازی می‌کند تا پروتکل، هرچه بیشتر برای کامپیوترهای ویندوزی امن باشد. به‌روزرسانی مذکور پس از حمله‌های Wannacry و NotPetya کاربرد گسترده‌تری پیدا کرد. این دو بدافزار ابتدا توسط آژانس امنیت ملی NSA طراحی شده بودند و بعدا مجرمان سایبری آن‌ها را به‌سرقت بردند. حمله‌‌ای که با بهره‌برداری از بدافزارها انجام می‌شد، EternalBlue نام داشت و با سوءاستفاده از SMBv1، قابلیت اجرای کد از راه دور را در سیستم قربانی پیدا می‌کرد. آن حمله هم توانایی نفوذ از یک کامپیوتر آلوده به دیگری را داشت. مایکروسافت در پاسخ به تهدیدهای پیش‌آمده، ویندوز ۱۰ و ویندوز سرور ۲۰۱۹ را بسیار امن‌تر کرد تا در مقابل سوءاستفاده‌های مشابه، مقاوم باشند.

هنوز مشخص نیست که چرا مایکروسافت جزئیات پراکنده‌ای از آسیب‌پذیری ارائه می‌کند یا چرا هردو گروه امنیتی فوق، توصیه‌نامه‌های خود را حذف کرده‌اند.

تحلیل ریسک

اگرچه آسیب‌پذیری CVE-2020-0796 جدی و بحرانی تلقی می‌شود، هنوز نمی‌توان آن را در سطح آسیب‌پذیری SMBv1 دانست که منجر به گسترش واناکرای و نات‌پتیا شد. حمله‌های مذکور، در اثر گسترش عمومی حمله‌ی اترنال‌بلو توسعه یافتند که سوءاستفاده از سیستم‌های قربانی را در سطح فرایند‌های کپی و پیست، آسان کرده بود. از دیگر فاکتورهایی که منجر به توسعه‌ی آسیب‌پذیری‌ها شد، می‌توان به استفاده‌ی همه‌جانبه از SMBv1 در آن زمان اشاره کرد. اکنون SMBv3 کاربرد کمتری نسبت به آن نسخه دارد.

SMB از لایه‌ی امنیتی دیگری نیز بهره می‌برد که به‌صورت تصادفی، موقعیت‌های حافظه را تغییر می‌دهد. درواقع زمانی‌که کد مجرمانه در حافظه بارگذاری می‌شود و از آسیب‌پذیری سوءاستفاده می‌کند، مکان حافظه به‌صورت تصادفی تغییر می‌کند. چنین محافظتی، مجرمان را مجبور می‌کند تا از دو روش نفوذ پایدار و جامع استفاده کنند. یکی از روش‌ها، از فشار بار بیش‌ازحد روی بافر سوءاستفاده کرده و دیگری، موقعیت حافظه‌ی اجراکننده‌ی کد مخرب را فاش می‌کند. گروه هکری Buckeye، گروه حرفه‌ای که ۱۴ ماه پیش از شیوع حمله‌ی اترنال‌بلو از SMBv1 سوءاستفاده کرده بود، مجبور شد به‌خاطر سیستم حفاظتی حافظه‌ی تصادفی، از یک آسیب‌پذیری افشای اطلاعاتی دیگر سوءاستفاده کند.

WannaCry

جیک ویلیامز، هکر سابق NSA و بنیان‌گذار شرکت امنیتی Rendition Security در حساب کاربری توییتر خود نوشت که لایه‌های امنیتی فوق، زمان را برای پیاده‌سازی حمله‌ی مجرمانه افزایش می‌دهند. او اعتقاد دارد آسیب‌پذیری جدید به خطرناکی واناکرای نیست، چون سیستم‌های کمتری را تحت تأثیر قرار می‌دهد و همچنین کدهای آماده برای نفوذ نیز موجود نیستند. به‌هرحال او می‌گوید کشف آسیب‌پذیری دیگر در SMB، دور از انتظار نبود و در آینده هم احتمالا شاهد کشف‌های دیگر خواهیم بود.

درنهایت فراموش نکنید که در ماه مه گذشته، آسیب‌پذیری دیگر با ظرفیت‌های سوءاستفاده‌ی کرمی به‌نام BlueKeep کشف شد که مایکروسافت بسته‌ی امنیتی آن را عرضه کرد. هنوز هیچ‌گونه سوءاستفاده از آسیب‌پذیری مذکور گزارش نشده است، اما به‌هرحال هشدارهایی جدی را به‌همراه داشت.

انتشار توصیه‌نامه‌های امنیتی و پاک کردن سریع آن‌ها، واکنش‌های گسترده‌ای را در توییتر به‌همراه داشت. مایکروسافت عموما جزئیات بسته‌های امنیتی آتی خود را پیش از انتشار با شرکت‌های آنتی‌ویروس و سیستم‌های مقابله با نفوذ به اشتراک می‌گذارد. ظاهرا ردموندی‌ها عرضه‌ی بسته‌ی امنیتی SMBv3 را در لحظه‌ی آخر به تأخیر انداخته‌اند و شرکای امنیتی، اطلاعاتی از آن ندارند. درنهایت صرف‌نظر از دلیل حذف توصیه‌نامه‌ها، اطلاعات آسیب‌پذیری در اینترنت منتشر شده است. کاربرانی که از سرویس‌های SMBv3 استفاده می‌کنند باید در دریافت اخبار پیرامون به‌روزرسانی‌های امنیتی، هوشیار باشند.