محققان امنیتی از آسیبپذیری جدیدی در ویندوز خبر دادند که مجرمان سایبری با سوءاستفاده از آن توانایی اجرای حملههای خطرناک را خواهند داشت. محققان، اجرای حملههایی با قابلیت تکرار خودکار همچون Wannacry و NotPetya را با سوءاستفاده از آسیبپذیری جدید ممکن میدانند. چنین حملههای سایبری میتوانند شبکههای کسبوکاری در سرتاسر جهان را فلج کنند.
آسیبپذیری جدید امنیتی در ویندوز در نسخهی ۳/۱/۱ از سرویس - تعمیرات سولاردام توشیبا فیروزکوه - Server Message Block دیده شد. سرویس مذکور، برای اشتراک فایل و پرینتر و منابع دیگر در شبکههای محلی یا اینترنت استفاده میشود. مجرمان سایبری که توانایی سوءاستفاده - تعمیرات سولاردام توشیبا فیروزکوه - از آسیبپذیری را داشته باشند، با استفاده از - تعمیرات سولاردام توشیبا فیروزکوه - آن کدهای موردنظر خود را در سرورها و کامپیوترهای دیگر موجود در شبکه اجرا میکنند. مایکروسافت وجود آسیبپذیری را تأیید کرده و یک اطلاعیهی مشاورهای پیرامون آن ارائه داده است.
آسیبپذیری موجود بهنام CVE-2020-0796 ثبت شد که ویندوز ۱۰ را در نسخههای ۱۹۰۳ و ۱۹۰۹ تحت تأثیر قرار میدهد. بهعلاوه، ویندوز سرور نسخههای ۱۹۰۳ و ۱۹۰۹ نیز در معرض تهدید هستند. نسخههای مذکور، جدیدترین نسخهها از سیستمعامل مایکروسافت هستند که شرکت، هزینههای سنگینی برای جلوگیری از حملههای اینچنینی در آنها متحمل شده - تعمیرات سولاردام توشیبا فیروزکوه - است. هنوز هیچ بستهی امنیتی برای حل مشکل آسیبپذیری وجود ندارد و سند جدید ردموندیها نیز اطلاعاتی از زمانبندی عرضهی بستهی امنیتی ارائه نمیکند. - تعمیرات سولاردام توشیبا فیروزکوه - سخنگوی مایکروسافت هم در پاسخ - تعمیرات سولاردام توشیبا فیروزکوه - به رسانهها گفت که بهجز متن توصیهنامه فعلا هیچ اطلاعیهای از شرکت وجود ندارد.
مایکروسافت به کاربران اعلام کرد که تا زمان عرضهی بستهی امنیتی میتوانند با مسدود کردن قابلیت فشردهسازی در سرورها، جلوی سوءاستفادهی مجرمان سایبری را بگیرند. مسدود کردن فشردهسازی باعث میشود تا مجرمان نتوانند از آن برای تهدید سرورهای SMBv3 سوءاستفاده کنند. کاربران میتوانند برای غیرفعال کردن فشردهسازی بدون نیاز به راهاندازی مجدد سرور، دستور زیر را در PowerShell اجرا کنند:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
اگر کامپیوترهای شخصی یا سرورها به سرویس آلودهی SMB متصل شوند، کد بالا راهکاری برای امنیت آنها نخواهد بود. البته درصورت رخ دادن چنین اتفاقی، حملهها بهصورت بدافزار اتفاق نمیافتد. مایکروسافت همچنین پیشنهاد میکند تا - تعمیرات سولاردام توشیبا فیروزکوه - کاربران پورت ۴۴۵ را مسدود کنند. پورت ۴۴۵ برای - تعمیرات سولاردام توشیبا فیروزکوه - انتقال ترافیک - تعمیرات سولاردام توشیبا فیروزکوه - SMB - تعمیرات سولاردام توشیبا فیروزکوه - بین کامپیوترها استفاده میشود.
شرکت امنیتی Fortiet ابتدا یک متن توصیهنامه برای آسیبپذیری جدید منتشر و سپس آن را پاک کرد. آنها آسیبپذیری جدید را بهنام MS.SMB.Server.Compression.Transform.Header.Memory.Corruption معرفی کردند و آن را نتیجهی فشار بیش از حد بر بافر در سرورهای Microsoft SMB دانستند. در بخشی از سند گروه مذکور نوشته شده بود:
ارائه خدمات تعمیرات سولاردام توشیبا فیروزکوه با ارزانترین قیمت
آسیبپذیری بهخاطر خطایی ایجاد میشود که نرمافزار آسیبپذیر در زمان مدیریت پکت دادهی فشردهشدهی مخرب تجربه میکند. یک مجرم سایبری بدون دسترسی تأییدشده میتواند از این آسیبپذیری از راه دور سوءاستفاده و کدهای جانبی مخرب را در بدنهی اپلیکیشن اجرا کند.
تیم امنیتی Talos در سیسکو نیز توصیهنامهی امنیتی - تعمیرات سولاردام توشیبا فیروزکوه - پیرامون آسیبپذیری جدید ویندوز - تعمیرات سولاردام توشیبا فیروزکوه - منتشر کرده بود، اما بعدا آن را پاک کرد. آنها از اصطلاح Wormable برای توصیف آسیبپذیری استفاده کردند. این - تعمیرات سولاردام توشیبا فیروزکوه - اصطلاح یعنی مجرمان میتوانند با یک بار نفوذ به یک سیستم مخرب، مجموعهای زنجیرهوار از حملهها تشکیل دهند که امکان نفوذ از یک ماشین آسیبیپذیر را به ماشین آسیبپذیر بعدی - تعمیرات سولاردام توشیبا فیروزکوه - ممکن میکند و هیچ نیازی هم به دستوری ازطرف ادمین یا کاربر سیستم آلوده ندارد.
در بخشی از توصیهنامهی تیم امنیتی Talos نوشته شده بود:
تعمیرات سولاردام توشیبا فیروزکوه کیفیت بالا، خدمات متفاوت
مجرم سایبری میتواند با ارسال یک پکت آلوده به سرور - تعمیرات سولاردام توشیبا فیروزکوه - هدف SMBv3 از آسیبپذیری سوءاستفاده کند. قربانی باید به این سرور متصل باشد تا حمله بهصورت کامل انجام شود. کاربران باید فشردهسازی SMBv3 - تعمیرات سولاردام توشیبا فیروزکوه - را غیرفعال و پورت TCP 445 را نیز در فایروالها و کامپیوترهای کاربر مسدود کنند. سوءاستفاده از آسیبپذیری، یک حملهی کرمی را ایجاد میکند، یعنی مجرمان میتوانند از یک کامپیوتر قربانی به دیگری نفوذ کنند.
مایکروسافت با اجرای SMBv3 مجموعهای از راهکارها را پیادهسازی میکند تا پروتکل، هرچه بیشتر برای کامپیوترهای ویندوزی امن باشد. بهروزرسانی مذکور پس از حملههای Wannacry و NotPetya کاربرد گستردهتری پیدا کرد. این دو بدافزار ابتدا توسط آژانس امنیت ملی NSA طراحی شده بودند و بعدا مجرمان سایبری آنها را بهسرقت بردند. - تعمیرات سولاردام توشیبا فیروزکوه - حملهای که با بهرهبرداری - تعمیرات سولاردام توشیبا فیروزکوه - از بدافزارها انجام میشد، - تعمیرات سولاردام توشیبا فیروزکوه - EternalBlue نام داشت و با سوءاستفاده از SMBv1، قابلیت اجرای کد از - تعمیرات سولاردام توشیبا فیروزکوه - راه دور را در سیستم قربانی پیدا میکرد. آن حمله هم توانایی نفوذ از یک کامپیوتر آلوده به دیگری را داشت. مایکروسافت در پاسخ به تهدیدهای پیشآمده، ویندوز ۱۰ و ویندوز سرور ۲۰۱۹ را بسیار امنتر کرد تا در مقابل سوءاستفادههای مشابه، مقاوم باشند.
هنوز مشخص نیست که چرا مایکروسافت جزئیات پراکندهای از آسیبپذیری ارائه میکند یا چرا هردو گروه امنیتی فوق، توصیهنامههای خود را حذف کردهاند.
اگرچه آسیبپذیری CVE-2020-0796 جدی و بحرانی تلقی - تعمیرات سولاردام توشیبا فیروزکوه - میشود، هنوز نمیتوان آن را در سطح آسیبپذیری SMBv1 دانست که منجر به گسترش واناکرای و ناتپتیا شد. حملههای مذکور، در اثر گسترش عمومی حملهی اترنالبلو توسعه یافتند که سوءاستفاده از سیستمهای قربانی را در سطح فرایندهای کپی و پیست، آسان کرده بود. از دیگر فاکتورهایی که منجر به توسعهی آسیبپذیریها شد، میتوان به استفادهی همهجانبه از SMBv1 در آن زمان - تعمیرات سولاردام توشیبا فیروزکوه - اشاره کرد. اکنون SMBv3 کاربرد کمتری نسبت به آن نسخه دارد.
SMB از لایهی امنیتی دیگری نیز بهره میبرد که بهصورت تصادفی، موقعیتهای حافظه را تغییر میدهد. درواقع زمانیکه کد مجرمانه در حافظه بارگذاری میشود و از آسیبپذیری سوءاستفاده میکند، مکان حافظه بهصورت تصادفی تغییر میکند. چنین محافظتی، مجرمان را مجبور میکند تا از دو روش نفوذ پایدار و جامع استفاده کنند. یکی از روشها، از فشار بار بیشازحد روی بافر سوءاستفاده کرده و دیگری، موقعیت حافظهی اجراکنندهی کد مخرب را فاش میکند. گروه هکری Buckeye، گروه حرفهای که ۱۴ ماه پیش از شیوع حملهی اترنالبلو از SMBv1 سوءاستفاده کرده بود، مجبور شد بهخاطر سیستم حفاظتی حافظهی تصادفی، از یک آسیبپذیری افشای اطلاعاتی دیگر سوءاستفاده کند.
جیک ویلیامز، هکر سابق NSA و - تعمیرات سولاردام توشیبا فیروزکوه - بنیانگذار شرکت امنیتی Rendition Security در حساب کاربری توییتر خود نوشت که لایههای امنیتی فوق، زمان را برای پیادهسازی حملهی مجرمانه افزایش میدهند. او اعتقاد دارد آسیبپذیری جدید به خطرناکی واناکرای نیست، چون سیستمهای کمتری را تحت تأثیر قرار میدهد و همچنین - تعمیرات سولاردام توشیبا فیروزکوه - کدهای آماده برای نفوذ نیز موجود نیستند. بههرحال او میگوید کشف آسیبپذیری دیگر در SMB، دور از انتظار نبود و در آینده هم احتمالا شاهد کشفهای دیگر خواهیم بود.
درنهایت فراموش نکنید که در ماه مه - تعمیرات سولاردام توشیبا فیروزکوه - گذشته، آسیبپذیری دیگر با ظرفیتهای سوءاستفادهی کرمی بهنام BlueKeep کشف شد که مایکروسافت بستهی امنیتی آن را عرضه کرد. هنوز هیچگونه سوءاستفاده از آسیبپذیری مذکور گزارش نشده است، اما بههرحال هشدارهایی جدی را بههمراه داشت.
انتشار توصیهنامههای امنیتی و پاک کردن سریع آنها، واکنشهای گستردهای را در توییتر بههمراه - تعمیرات سولاردام توشیبا فیروزکوه - داشت. مایکروسافت - تعمیرات سولاردام توشیبا فیروزکوه - عموما جزئیات بستههای امنیتی آتی خود را پیش از انتشار با شرکتهای آنتیویروس و سیستمهای مقابله با نفوذ به اشتراک میگذارد. ظاهرا ردموندیها عرضهی بستهی امنیتی SMBv3 را در لحظهی آخر به تأخیر انداختهاند و شرکای امنیتی، اطلاعاتی از - تعمیرات سولاردام توشیبا فیروزکوه - آن ندارند. درنهایت صرفنظر از دلیل حذف توصیهنامهها، اطلاعات آسیبپذیری در اینترنت منتشر شده است. کاربرانی که از سرویسهای SMBv3 - تعمیرات سولاردام توشیبا فیروزکوه - استفاده میکنند باید در دریافت اخبار پیرامون بهروزرسانیهای امنیتی، هوشیار باشند.