SMBGhost

محققان Ricerca Security اقدام به انتشار نسخه‌ای Demo از نمونه (Proof-of-Concept) آسیب‌پذیری SMBv۳ به حملات "اجرای کد به‌صورت از راه دور" کرده‌اند.+

SMBGhost
SMBGhost

به نقل از پایگاه اینترنتی BleepingComputer، آسیب‌پذیری مذکور که به SMBGhost معروف شده ضعفی در نسخه ۳,۱.۱ پودمان Server Message Block – به اختصار SMBv۳ – است که سیستم‌های عامل زیر از آن تأثیر می‌پذیرند:

• Windows ۱۰ Version ۱۹۰۳ for ۳۲-bit

• Windows ۱۰ Version ۱۹۰۳ for x۶۴-based

• Windows ۱۰ Version ۱۹۰۳ for ARM۶۴-based

• Windows Server, Version ۱۹۰۳ (Server Core installation)

• Windows ۱۰ Version ۱۹۰۹ for ۳۲-bit

• Windows ۱۰ Version ۱۹۰۹ for x۶۴-based

• Windows ۱۰ Version ۱۹۰۹ for ARM۶۴-based

• Windows Server, Version ۱۹۰۹ (Server Core Installation)

بهره‌جویی (Exploit) از SMBGhost امکان "اجرای کد به‌صورت از راه دور" بر روی دستگاه آسیب‌پذیر را، بدون نیاز به اصالت‌سنجی شدن مهاجم فراهم می‌کند.
مهاجم می‌تواند با ارسال بسته‌ای دستکاری شده به یک سرویس‌دهنده SMBv۳ اقدام به بهره‌جویی از SMBGhost بر روی آن سرور کند. برای سوءاستفاده از آسیب‌پذیری بر روی Windows ۱۰ نیز مهاجم قادر است تا با راه‌اندازی یک سرویس‌دهنده مخرب SMBv۳ و تشویق کاربر به اتصال به آن، بدون احراز هویت شدن کد مورد نظر خود را بر روی دستگاه با این سیستم عامل به اجرا در آورد.


در ابتدا انتظار می‌رفت که این ضعف امنیتی که به آن شناسه CVE-۲۰۲۰-۰۷۹۶ و درجه حساسیت "حیاتی" (Critical) تخصیص داده شده توسط مجموعه اصلاحیه‌های ماه مارس Microsoft که ۲۰ اسفند عرضه شدند ترمیم شود. در آن تاریخ تعدادی از شرکت‌هایی که عضو برنامه Microsoft Active Protections Program هستند و به اطلاعات مربوط به آسیب‌پذیری‌ها زودتر از سایرین دسترسی دارند با تصور ارائه شدن اصلاحیه این ضعف امنیتی از سوی Microsoft، اقدام به انتشار جزییات ضعف مذکور کردند.


پس از در دسترس قرار گرفتن چند نمونه اثبات‌گر از جمله نمونه‌ای که در آن امکان از کاراندازی سرویس (Denial-of-Service) از طریق سوءاستفاده از SMBGhost را نمایش می‌داد، شرکت Microsoft در ۲۲ اسفند اقدام به انتشار اصلاحیه امنیتی برای تمامی سیستم‌های عامل آسیب‌پذیر به CVE-۲۰۲۰-۰۷۹۶ کرد.
در آن زمان بررسی شرکت Kryptos Logic نشان می‌داد که حدود ۴۸ هزار سیستم آسیب‌پذیر به SMBGhost بر روی اینترنت قابل دسترس است.


پس از آن نیز نمونه‌های اثبات‌گر و گزارش‌های متعددی در خصوص "ترفیع سطح دسترسی محلی" (Local Privilege Escalation) با بهره‌جویی از SMBGhost به‌صورت عمومی در دسترس عموم قرار گرفت.
اما با این حال تا همین اندکی پیش، هیچ نمونه‌ای که در عمل اجرای "کد به‌صورت از راه دور" را با بهره‌جویی از CVE-۲۰۲۰-۰۷۹۶ اثبات کند ارائه نشده بود.


شاید یکی از اصلی‌ترین دلایل آن دشوار بودن بهره‌جویی از راه دور در سطح هسته (Remote Kernel Exploitation) که در آن امکان بکارگیری توابع کاربردی سیستم عامل نظیر ایجاد پروسه‌های در کنترل کاربر، ارجاع به بستر PEB و صدور فراخوانی‌های سیستمی میسر نیست در مقایسه با بهره‌جویی‌های موسوم به Local Exploitation بوده باشد.


اکنون اما انتشار نسخه نمایشی Ricerca Security که در ویدئوی زیر قابل مشاهده است بهره‌جویی "اجرای کد به صورت از راه دور" ممکن‌تر از قبل به نظر می‌رسد:

https://vimeo.com/۴۰۹۸۵۵۵۷۸

اگرچه Ricerca Security بجای انتشار عمومی نمونه اثبات‌گر به ارائه این نسخه نمایشی و جزییات فنی آن اکتفا کرده تا به قول این شرکت به ابزاری در دست افراد ناپاک تبدیل نشود اما همان‌طور که Microsoft نیز در توصیه‌نامه خود به آن اشاره دارد امکان مورد سوءاستفاده قرار گرفتن CVE-۲۰۲۰-۰۷۹۶ بسیار محتمل (More Likely) است.
لذا اگر تابه‌حال نصب اصلاحیه آسیب‌پذیری مذکور انجام‌نشده توصیه اکید می‌شود تا برای در امان ماندن از گزند حملات بالقوه در اسرع وقت نسبت به انجام آن اقدام شود.
چنانچه به هر دلیل امکان به‌روزرسانی در حال حاضر فراهم نیست، غیرفعال کردن Compression در SMBv۳ که در توصیه‌نامه زیر به آن پرداخته‌شده می‌تواند راهکاری موقت برای پوشش این آسیب‌پذیری صرفاً بر روی سرورها باشد:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-۲۰۲۰-۰۷۹۶

سازمان‌های مجهز به راهکارهای دیواره آتش نیز می‌توانند بامطالعه مقاله فنی زیر اقدام به مقاوم‌سازی درگاه‌های مرتبط با پودمان SMB کنند:

https://support.microsoft.com/en-us/help/۳۱۸۵۵۳۵/preventing-smb-traffic-from-lateral-connections