محققان امنیت فضای مجازی یک آسیب پذیری جدید و خطرناک که بر پروتکل Server Message Block (SMB) تأثیر می گذارد، را کشف کردند که به مهاجمان اجازه دسترسی به kernel memory را از راه دور می دهد. در صورت ترکیب این آسیب پذیری با آسیب پذیری “wormable” که قبل تر کشف شده بود، امکان حملات Remote Code Execution (RCE) برای هکر مهیا می شود.

آسیب پذیری SMBleed (CVE-2020-1206) باعث به وجود آمدن اختلال در کارکرد تایع decompression پروتکل SMB می شود همانند آسیب پذیری SMBGhost یا EternalDarkness (CVE-2020-0796) که حدود سه ماه پیش کشف شد که هدف آن، آسیب پذیر کردن سیستم های ویندوزی در برابر حملات Malware و گسترش آن ها در شبکه بود.

آسیب پذیری SMBleed بر روی ویندوز ۱۰ نسخه های ۱۹۰۳ و ۱۹۰۹ تاثیر می گذارد که می توانید با دریافت وصله امنیتی ای که امروز توسط ماکروسافت منتشر شد، این اسیب پذیری را برطرف کنید.

پیشرفت این آسیب پذیری ها در حالی صورت می گیرد که هفته گذشته آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) بیانه ای را صادر کرد که به کاربران ویندوز ۱۰ هشدار داده بود تا سیستم های ویندوزی را در مقابل آسیب پذیری SMBGhost مقاوم کنند. SMBGhost آنقدر جدی تلقی شد که بالاترین مکان یعنی رتبه ۱۰ را بدست آورد.

CISA گفت: “اگرچه مایکروسافت به روزرسانی های این آسیب پذیری را در ماه مارس ۲۰۲۰ منتشر کرده و در اختیار کاربران قرار داده است، اما بر اساس گزارش های اخیر منبع باز هکرها، سیستم های آسیب پذیر را با PoC جدید مورد حمله قرار می دهند.”

SMB، که از طریق پورت TCP 445 کار می کند، یک پروتکل شبکه است که زمینه را برای به اشتراک گذاری فایل، مرور شبکه ، خدمات چاپ و پردازش ارتباطات از طریق شبکه را فراهم می کند.

به گفته محققان ZecOps، این نقص ناشی از نحوه عملکرد تابع decompression در سوال (“Srv2DecompressData“) است که درخواستهای ارسال شده با پیام بخصوصی (مثلاً SMB2 WRITE) به سرور SMBv3 که متعلق به هکر است، هدایت می کند و به مهاجم اجازه می دهد تا kernel memory را بخواند و اصلاحات خود را به تابع compression اضافه کند.

محققان اضافه کردند: “ساختار پیام شامل فیلدهایی از قبیل میزان bytes to write and flags ، و variable-length buffer است. این ساختار کار را برای سوء استفاده از آسیب پذیری آسان میکند زیرا می توانیم پیام را به گونه ای طراحی کنیم که عنوان دارای اطلاعات مجاز، اما variable-length buffer حاوی داده های غیرمجاز باشد.”

از همه بدتر این است که می توان با استفاده مشترک از SMBleed و SMBGhost به اجرای حملات RCE در ویندوز ۱۰ رسید. همچنین این شرکت کد های proof-of-concept را منتشر کرده است که نقص ها را به صورت کامل نشان می دهد.

توصیه می شود برای کاهش آسیب پذیری کاربران خانگی و مشاغل جدیدترین نسخه های Windows را نصب کنند و برای سیستمهایی که وصله قابل استفاده نیست ، توصیه می شود پورت ۴۴۵ را مسدود کنید تا از حملات احتمالی جلوگیری شود، همچنین می توانید وصله های ماکروسافت را از اینجا و اینجا دریافت کنید.