مایکروسافت بستهی امنیتی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - اورژانسی را برای ویندوز منتشر کرد که خارج از زمانبندی مرسوم بهروزرسانی سیستمعامل به دست کاربران رسید. این بستهی امنیتی برای آسیبپذیری خطرناکی ارائه شد که چندی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - پیش اخبار انتشار آن به رسانهها رسیده بود. آسیبپذیری مذکور اصطلاحا توانایی گسترش کرمی (Wormable) دارد و از یک سیستم آلوده به سیستم دیگر نفوذ میکند.
حفرهی امنیتی جدید ویندوز، در نسخهی سوم پروتکل Server - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - Message Block موسوم به SMBv3 کشف - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - شد که تنها در نسخههای کلاینت و سرور ویندوز ۱۰ ورژن ۱۹۰۳ و ۱۹۰۹ وجود - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - دارد. اگرچه سوءاستفاده از آسیبپذیری مذکور نیاز به ابزارها و مهارت ویژه دارد؛ اما مایکروسافت و محققان امنیتی مستقل، آن را خطرناک توصیف میکنند. درواقع خطر آسیبپذیری از آنجا نشئت میگرد که مجرمان میتوانند با سوءاستفاده از آن، شبکهای از حملههای کرمی را برنامهریزی کنند. در چنین حملههایی، با نفوذ به یک کامپیوتر میتوان ساختاری ایجاد کرد که تمامی سیستمهای ویندوزی متصل هم بهمرور آلوده شوند. چنین سناریویی در آسیبپذیریهای واناکرای و ناتپتیا در سال ۲۰۱۷ اجرا شد.
مایکروسافت در سند اطلاعرسانی که با بستهی امنیتی منتشر کرد، گفت - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - که تاکنون هیچ مدرکی مبنی بر سوءاستفاده از آسیبپذیری جدید کشف نشده است. البته آنها از برچسب «احتمال سوءاستفاده» برای این آسیبپذری استفاده کردند. بهبیان دیگر مجرمان سایبری احتمالا در آینده از آن سوءاستفاده خواهند کرد.
در بخشی از بولتن اطلاعرسانی مایکروسافت میخوانیم:
تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی را از ما بخواهید
یک آسیبپذیری با امکان دسترسی و اجرای کد از راه دور - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - در شیوههای اجرایی و مدیریت ریکوئست های ویژه در - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - پروتکل SMBv3 وجود دارد. مجرم سایبری که توانایی سوءاستفاده از آسیبپذیری را داشته باشد، میتواند کدهای مورد نظر را در کلاینت یا سرور قربانی اجرا کند.
اطلاعات تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی را از ما بخواهید
مهاجم سایبری برای سوءاسفتاده از آسیبپذیری در سرور میتواند یک پکت ویژه را به سرور SMBv3 - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - هدف ارسال کند. - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - برای سوءاستفاده از آن در سیستمهای کلاینت، مهاجم باید یک سرور SMBv3 آلوده طراحی و قربانی را به اتصال به آن ترغیب کند.
تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی با تنوع بسیار
بهروزرسانی امنیتی با اصلاح روش مدیریت ریکوئستها در پروتکل SMBv3، سوءاستفاده از آن را غیرممکن میکند.
کمی پس از آنکه مایکروسافت - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - بستهی امنیتی خارج از برنامه را منتشر کرد، محققان شرکت امنیتی Sophos تحقیق عمیقی روی آسیبپذیری داشتند. آنها - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - در بخشی از تحلیل خود - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - نوشتند:
برای مشاوره تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی اینجا کلیک کنید
آسیبپذیری شامل سرریز عدد صحیح در یکی از درایورهای کرنل میشود. مهاجم میتواند پکت مخرب را برای سوءاستفاده از همین سرریزها یا شرایط دیگر در - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - کرنل، طراحی کند.
توضیحات فنی گروه Sophos شامل جزئیات زیاد تخصصی میشود. بهبیان ساده میتوان گفت که یک مهاجم سایبری با کد سوءاستفادهی حرفهای شاید بتواند رمزهای عبور و اطلاعات حساس دیگر را بهصورت متن ساده در سیستم - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - قربانی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - بخواند. در شرایط دیگر مهاجم میتواند یک خط فرمان در سیستم - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - قربانی اجرا کند و کنترل آن را به دست بگیرد. اترنالبلو (EternalBlue) از حملههای مشابهی بود که - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - ابتدا توسط - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - NSA طراحی و بهرهبرداری شد. سپس مجرمان سایبری توانستند حملهی مذکور را از آژانس امنیت ملی ایالات متحده سرقت - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - کنند. بههرحال آن حمله هم از آسیبپذیری SMB سوءاستفاده میکرد و در زمان اجرای تابعی در آن پروتکل ازسوی کاربر، کد مخرب را اجرا میکرد.
تحلیل امنیتی گروه Sophos میگوید مجرمان از - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - سه طریق میتوانند از آسیبپذیری سوءاستفاده کنند:
سناریوی اول: مهاجم، فایلهای اشتراکی ماشین را هدف قرار میدهد. اگر یک کاربر - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - یا مدیر سیستم، تنظیمات پیشفرض را برای بازکردن پورت ۴۴۵ - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - تغییر داده یا ویندوز - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - فایروال را غیرفعال کرده باشد، ماشین برای حملههای از راه دور با قابلیت کنترل سیستم توسط مجرم، آسیبپذیر میشود. اگر - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - سیستم در یک دامین ویندوزی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - هم باشد، احتمال آسیبپذیری افزایش مییابد.
تیم تحقیقاتی SophosLabs در پستی وبلاگی، سوءاستفاده را اینگونه شرح دادند:
تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی برای اطلاعات بیشتر کلیک کنید
سیستمی که پچ امنیتی را دریافت - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - نکند و پورت SMB آسیبپذیر آن به اینترنت عمومی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - متصل باشد، احتمالا هدفی برای حملهی کرمی مانند واناکرای خواهد بود. نکتهی اصلی این است که مهاجم باید روش سوءاستفادهی بسیار حرفهای طراحی کند تا تمامی راهکارهای امنیتی مایکروسافت در ویندوز ۱۰ را دور بزند. بهعلاوه کامپیوتر هدف هم باید پورت 445/tcp را برای تمامی اتصالها از بیرون، باز گذاشته - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - باشد. نیاز به همهی این شرایط باعث کاهش اثرگذاری آسیبپذیری میشود.
سناریوی دوم: مهاجم، کاربر را ترغیب به اتصال به یک سرور مخرب میکند. او میتواند با سوءاستفاده از پیامها اسپم حاوی لینک اتصال، چنین اقدامی را انجام دهد. وقتی قربانی روی لینک موجود در پیام اسپم کلیک میکند، به سرور مخرب متصل میشود. سپس مهاجم کنترل کل ماشین را در دست میگیرد. در نمونهای دیگر، مهاجم که دسترسی نسبی به یک شبکه دارد، یکی از دستگاههای مورد اعتماد در سازمان را آلوده میکند. سپس ماشینهایی که با استفاده از پروتکل SMBv3 به ماشین آلوده متصل میشوند، در معرض خطر - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - قرار میگیرند.
وقتی دو روش ذکر شده در - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - پاراگراف بالا - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - با هم ترکیب شوند، مهاجم میتواند - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - به یک شبکهی هدف دسترسی اولیه پیدا کند و سپس به کامپیوترهای حساستر با دسترسیهای بیشتر وارد شود. تنها نکتهی منفی و مانع - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - بر سر راه مهاجم این است که باید مهندسی اجتماعی را برای فریب دادن کاربر هدف، بهکار بگیرد.
سناریوی سوم: - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - مهاجمی که - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - ازطریق روشهای - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - متنوع دسترسی اولیهی محدودی به یک کامپیوتر آسیبپذیر پیدا میکند، از آسیبپذیری SMBv3 برای اجرای کدهای مخرب استفاده میکند که حقوق سیستمی مشابهی با کاربر هدف دارند. از آن مرحله، مهاجمان احتمالا میتوانند دسترسی خود را به سطح سیستمی افزایش دهند.
محققان Sophos و دیگر منابع تحلیلی امنیتی تأکید میکنند که رویکردهای امنیتی پیچیدهی مایکروسافت در ویندوز ۱۰، سوءاستفاده از آسیبپذیری امنیتی جدید را برای مجرمان سایبری دشوار میکند. رویکردهای مذکور، حتی در زمان حملهی سایبری منجر به توقف فعالیت سیستم میشوند تا به کاربر یا مدیر سیستم، هشدار لازم را مبنی بر نفوذ سایبری ارائه کنند. البته - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - وجود سپرهای امنیتی بدین معنی نیست که سوءاستفاده از آسیبپذیری SMBv3 اصلا رخ نمیدهد. مهندسی معکوس بستهی امنیتی جدید مایکروسافت در ترکیب با دیگر تواناییهای نفوذ سایبری میتواند - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - سوءاستفاده را برای مجرمان حرفهای ممکن کند.
هر کاربری که از ویندوز ۱۰ استفاده میکند - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - (خصوصا آنهایی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - که از قابلیتهای اشتراک پرینتر و فایل و منابع دیگر در شبکه استفاده میکنند)، باید هرچه سریعتر بستهی امنیتی جدید را دریافت و نصب کند. برای - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - آن دسته از کاربرانی که قادر به نصب بستهی امنیتی نیستند، راهکارهای کاهش ریسک جایگزین مانند غیرفعالسازی فشردهسازی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - در SMB و مسدود کردن پورت ۴۴۵ برای دسترسی - تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی - خارجی اینترنتی پیشنهاد میشود. محققان امنیتی، راهکار دوم را از مدتها پیش برای جلوگیری از انواع حملهها پیشنهاد میدهند. از راهکاهای دیگر میتوان به مسدود کردن پورت ۴۴۵ در داخل یک شبکهی محلی اشاره کرد. البته Sophos میگوید این راهکار عواقبی را هم از لحاظ ارتباط داخلی بههمراه دارد.
مناسبترین تعمیرگاه مجاز یخچال بالا پایین بلومبرگ قدیمی را از ما بخواهید
پورت 445 TCP تنها برای کاربردهای SMB استفاده نمیشود و بخشهای حیاتی دیگر در ویندوز دامین هم از آن بهره میبرند. بهترین راهکار مقابله، نصب بستهی امنیتی است.
مایکروسافت ابتدا آسیبپذیری امنیتی را آنچنان جدی نگرفته بود و زمانبندی خاصی هم برای ارائهی بستهی امنیتی اعلام نکرد. اکنون بهنظر میرسد احتمال سوءاستفاده از آسیبپذیری افزایش پیدا کرده باشد که ردموندیها مجبور به انتشار بستهی اورژانسی شدهاند.