کمیته رکن چهارم – اخیرا یک محقق امنیتی اقدام به انتشار PoC آسیب پذیری اجرای کد از راه دور پروتکل SMBv3 مایکروسافت کرده که با شناسه CVE-2020-0796 قابل ردیابی است. کاربرانی که آسیب پذیری فوق را برطرف نکرده اند در اسرع وقت حتما این کار را انجام دهند.
پروتکل (Server Message Block 3.1.1 (SMBv3 مایکروسافت که یک پروتکل ارتباطی شبکه جهت فراهم کردن دسترسی مشترک به پرونده ها، چاپگرها و پورت های سریال بین گره های یک شبکه است، در نحوه بررسی درخواست ها آسیب پذیری اجرای کد از راه دور یا به اصطلاح RCE دارد.
شخص مهاجم می تواند با دقت یک بسته دیتا بسازد و آن را به سرور SMB ارسال کند و سپس بدون احراز هویت کد دلخواه خود را روی سرور هدف اجرا کند. در گام بعدی مهاجم یک SMB سرور ورژن ۳ مخرب را در شبکه قربانی مستقر کرده و کاربران را به سمت انصال آن هدایت می کند. پس از اتصال کاربر قربانی به SMB سرور، کد مخرب سفارشی هکر در رایانه هدف اجرا می شود.
از آنجا که آسیب پذیری فوق شبیه آسیب پذیری Eternal Blue است، هکرها به راحتی می توانند برنامه های مخرب خود را توسط کرم های رایانه ایی توزیع کنند. این فرآیند مخرب می تواند به یک آسیب پذیری سطح بالا تبدیل شده و بطور گسترده توسط بدافزارها و مهاجمان سایبری مورد استفاده قرار گیرد.
ویندوزهای تحت تاثیر این آسیب پذیری:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation
از آنجایی که محققان امنیتی کد بهره برداری از راه دور این آسیب پذیری را منتشر کرده اند، خطر واقعی برای کاربران افزایش یافته است.
تیم امنیتی ایران سایبر به کاربران ویندوزی تاکید می کند وصله امنیتی (KB4551762) که مایکروسافت منتشر کرده را حتما اعمال کرده و ویندوز خود را به روز رسانی کنند.
منبع: ایران سایبر
