انتشار کد بهره‌برداری برای SMBGhost RCE در ویندوز 10

انتشار کد بهره‌برداری برای SMBGhost RCE در ویندوز 10

PoC اجرای کد از راه دور(RCE) با شناسه CVE-2020-0796 در ویندوز 10، امروز توسط محققان امنیتی Ricerca توسعه و نمایش داده شد. این آسیب‌پذیری امنیتی، که به عنوان SMBGhost نیز شناخته می‌‌شود، در پروتکل ارتباطی Server Message Block 3.1.1 مایکروسافت یافت شد و این تنها بر سیستم‌های دارای ویندوز 10، نسخه 1903 و 1909 و همچنین نصب‌های server core ویندوز نسخه های 1903 و 1909، تأثیر می‌گذارد. برخی از اطلاعات در مورد SMBGhost علیرغم تصمیم مایکروسافت برای حفظ اطلاعات و عدم صدور توصیه امنیتی، در Patch Tuesday ماه گذشته پس از انتشار اتفاقی توسط تعدادی از فروشندگان امنیتی بخشی از برنامه محافظت فعال مایکروسافت، فاش شد. مایکروسافت می‌گوید: "مهاجمی که موفق به بهره‌برداری از این آسیب‌پذیری شود، می‌تواند اقدام به اجرای کد بر روی سرور و یا کلاینت هدف کند." "برای بهره‌‍‌برداری از آسیب‌پذیری علیه سرور، یک مهاجم غیرمجاز می‌تواند یک بسته‌ی ساختگی را به یک سرور SMBv3 که هدف واقع شده‌است، ارسال کند. برای بهره‌برداری از آسیب‌پذیری علیه کلاینت، یک مهاجم غیرمجاز نیاز به پیکربندی یک سرور SMBv3 مخرب دارد که کاربر را متقاعد کند تا به آن متصل شود. " انتشار بهره‌برداری از DoS، LPE و اکنون از RCE مایکروسافت پس از انتشار برخیPoC ، از جمله منع از سرویس كه توسط Marcus Hutchins محقق امنیتی Kryptos Logic توسعه داده شد، مایکروسافت در 12 مارس وصله‌هایی را برای همه سیستم‌عامل‌های تحت تأثیر منتشر كرد. محققان امنیت Ricerca اخیراً گفتند: "اگرچه قبلاً گزارش‌های عمومی و PoC های LPE (افزایش مجوزهای محلی) وجود داشته است، اما درواقع تاکنون هیچ یک از آن‌ها نشان نداده‌اند که RCE امکان‌پذیر است." "این احتمالاً به این دلیل است كه بهره‌برداری هسته از راه دور با بهره‌برداری محلی بسیار متفاوت است زیرا یك مهاجم نمی‌تواند از توابع مفید سیستم‌عامل مانند ایجاد فرایندهای كاربری، مراجعه به PEB و فراخوانی‌های سیستم استفاده كند." اگر وصله‌کردن تمام سیستم‌های آسیب‌پذیر تا به حال به اندازه کافی فوری نبوده است، Ricerca Security بعد از توییت‌کردن یک تیزر در هفته‌ی گذشته، امروز از PoC برای SMBGhost بهره‌برداری و یک فایل مشروح از تمام جزئیات فنی را منتشر کرد. آن‌ها همچنین یک نسخه‌ی نمایشی ویدیویی از بهره‌برداری SMBGhost RCE را با Bleeping Computer ، به اشتراک گذاشتند، که در صفحه‌ی زیر تعبیه شده است: https://www.bleepingcomputer.com/news/security/windows-10-smbghost-rce-exploit-demoed-by-researchers/ تاکنون از هیچ RCE عمومی بهره‌برداری نشده است. Ricerca Security فعلاً تصمیم گرفته‌است تا بهره‌برداری‌های RCE خود را در ملاء عام به اشتراک نگذارد تا از افتادن آن بدست اشخاص غلط، جلوگیری کند. آن‌ها گفتند: "ما تصمیم گرفتیم كه PoC را منحصراً در دسترس مشتریان خود قرار دهیم تا از سوء‌استفاده توسط هکرها یا مجرمان سایبری جلوگیری شود." محققان موسسه امنیت سایبری Kryptos Logic در طی اسکن گسترده اینترنت در 12 مارس، حدود 48،000 میزبان آسیب‌پذیر ویندوز 10 را در برابر حملات و آسیب‌پذیری SMBGhost کشف کردند. اگر هنوز سیستم ویندوز 10 خود را در برابر CVE-2020-0796 وصله نکرده‌اید، باید در اسرع وقت این کار را انجام دهید تا حملات احتمالی را مسدود کنید. اگر در حال حاضر نمی‌توانید ویندوز را به‌روزرسانی کنید، مایکروسافت توصیه می‌کند فشرده‌سازی SMBv3 را با استفاده از دستور PowerShell (Admin) غیرفعال کنید (شروع مجدد مورد نیاز نیست ، هرچند این مانع از بهره‌برداری از مشتریان SMB نمی‌شود.) Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force مشتریان Enterprise می‌توانند پورت TCP 445 را در محیط فایروال ببندند تا از بهره‌برداری مهاجمان جلوگیری کنند. گردآوری: آزين زارعي