آسیب پذیری SMB پروتکل شیر کردن فایل و پرینتر

حملات SMB Ghost

به اشتراک گذاری فایل و پرینتر (Sharing) یکی از موارد پرکاربرد در سازمانها می باشد. پس از حفره و آسیب پذیری SMB v1 که پیشتر ویندوزها را با تهدیدات جدی روبر کرده بود، اکنون آخرین نسخه از SMB v3.1.1 با مشکل آسیب پذیری روبرو شده است.

در مارس 2020 اعلام کرد از آسیب پذیری کرم گونه با شناسه CVE-2020-0796  (که با نام SMBGhost  یا روح اشتراک گذاری نیز یاد می شود) که در ماژول محبوب به اشتراک گذاری SMB (بلوک پیام رسان سرور) نسخه 3.1.1 که بر روی ویندوز 10 (1903 و 1909) و ویندوز سرور 2019 ساخت های ( 1903 و 1909) قرار دارد آگاه است.

SMBGhost یک آسیب پذیری سرریز صحیح در درایور SMB است که می تواند از هدر فشرده سازی استفاده کند و این امکان را به شما می دهد تا بافرهایی با ابعاد نادرست ایجاد کنید که منجر به سرریز بافر می شود. این آسیب پذیری در روش تابع Srv2DecompressData ()  قرار دارد که مقدار SMB2_COMPRESSION_TRANSFORM_HEADER در زمان از فشرده سازی خارج کردن اندازه پیام مدیریت می کند، منجر به سرریز / پاریز صحیح جریان می شود.

مایکروسافت شدت بحرانی را به این آسیب پذیری اختصاص داده است. یکی دیگر از آسیب پذیری های مهم پیشگیرانه اجرای از راه دور کد (RCE) می باشد که در SMB نسخه 1.0 (CVE-2017-0144) می باشد (اکثر ویندوزها از XP به بالا) توسط باج افزار WannaCry در سال 2017 مورد سوء استفاده قرار گرفت.

در زمان نوشتن مطلب، حدود 70000 دستگاه قابل دسترسی در سطح عمومی آسیب پذیر بودند همانطور که در شکل 1 نشان داده شده است (توجه داشته باشید که تعدادی از ماشینهای در معرض ممکن است ظرف عسل SMB باشند. همچنین این سیستم ها دارای IP ولید و عمومی می باشند، ممکن است سیستمهای آسیب پذیر بسیاری بدون دسترسی به آی پی ولید باشند).

سوء استفاده از آسیب پذیری از CVE-2020-0796 منجر به حملات اخلال در خدمت DoS بسیار آسان و ساده می گردد، اما بهره برداری از آن برای اجرای کد از راه دور می تواند چالش برانگیز باشد، زیرا ویندوز محافظت از حافظه خود را بهبود بخشیده است. اجرای کد از راه دور می تواند با شکست دادن تصادفی چیدمان فضای آدرس (KASLR) یا زنجیره با سایر آسیب پذیری های نشت حافظه حاصل شود. اگرچه این آسیب پذیری در تئوری قابل اجراست، اما ما معتقدیم که با توجه به عوارض و احتمال کمبود آسیب پذیری های متعدد چندگانه زنجیره ای برای بدست آوردن RCE نمی تواند همانند باج افزار WannaCry خطرناک باشد.

پچ برای این آسیب پذیری موجود است. برای نصب پچ امنیتی ، سیستم عامل خود را به روز کنید.

اگر به هر دلیلی قادر به نصب به روزرسانی ها نیستید، می توانید برای جلوگیری از حمله هکرها به سرور SMBv3.1.1 خود با دستور powerhell زیر فشرده سازی را غیرفعال کنید:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

توجه داشته باشید که این راهکار حملات به کلاینت SMB را که با فریب دادن شما به اتصال به سرورهای مخرب آنها که با پاسخ بسته های دستکاری شده روبرو می شوید، متوقف نمی کند. توصیه می شود ترافیک خارجی SMB را از شبکه محلی خود به WAN مسدود کنید. همچنین ، بسیار توصیه می شود اطمینان حاصل شود که اتصالات از طریق اینترنت به خدمات SMB در محیط سازمان شما مجاز نیست.

روشهای محافظت:

از UTM های مناسب (مانند وبروم / کوییک هیل / کی سون) برای پایش ترافیک به داخل و خارج سازمان پاستفاده کنید.

فایروال خود را همیشه روشن کنید.

از استفاده از حساب Administrator به عنوان حساب کاربری اصلی در دستگاه های حساس خودداری کنید.

اطمینان حاصل کنید که سیستم های شما برای وصله های امنیتی سیستم عامل به روز هستند و به طور پیش فرض امکان نصب به روزرسانی ها را می دهند.

از یک محصول امنیتی معتبر مانند K7 Endpoint Security و K7 Total Security استفاده کنید تا از آخرین تهدیدات محافظت کنید.

از در معرض قرار گرفتن سرویس SMB خود به اینترنت خودداری کنید مگر اینکه در مواردی که لازم باشد.

محصولات

امنیتی K7 تلاش های مربوط به سوء استفاده از آسیب پذیری SMBGhost  را (CVE-2020-0796) توسط لایه امنیتی IDS خود (یا شناسه حمله نفوذ 000200E8) شناسایی و به صورت پیشگیرانه محافظت می کند.

تحلیل فنی کامل نوع حمله، وصله و آسیب پذیری در صفحه زیر قابل دریافت است:

https://labs.k7computing.com/?p=20243