کمیته رکن چهارم – اخیرا محققان امنیتی موفق به شناسایی باگ جدیدی به نام “SMBleed” در سیستم های مایکروسافت شدند. این نقص امنیتی در پروتکل ارتباطی شبکه های مایکروسافت (SMB) شناسایی شده که با شناسه CVE-2020-1206 قابل ردیابی است و می تواند به راحتی به هکرها این امکان را بدهد تا تمام داده های محرمانه را از راه دور از حافظه کرنل خارج کنند.
هکرها می توانند با ترکیب این باگ و آسیب پذیری که از قبل کشف شده و مبتنی بر Worm می باشد حملات متعددی را از راه دور انجام دهند.باگ قبلی شناسایی شده بر روی SMB’s مربوط به عملکرد تابع decompression بود (SMBGhost CVE-2020-0796) و ترکیب آن با باگ جدید کشف شده می تواند سیستم های آسیب پذیر ویندوز را در معرض حملات بدافزاری قرار دهد.
عملکرد تابع decompression یا به عبارتی “Srv2DecompressData” در پروتکل SMB قادر به پردازش درخواست های ویژه و پیام ارسال شده (به عنوان مثال SMB2 WRITE) به سرور مقصد SMBv3 است. بنابراین یک مهاجم سایبری می تواند به راحتی داده ها را در حافظه کرنل بخواند و تغییراتی را در تابع compression ایجاد کند.
این آسیب پذیری روی نسخه های ویندوز ۱۰ (۱۹۰۳ و ۱۹۰۹) تأثیر گذار است و مایکروسافت نیز اخیراً وصله های امنیتی را منتشر کرده است. کاربران باید هر چه سریع تر سیستم خود را به روز رسانی کنند.
Basic Exploitation
مجموع این بهره برداری ها در اصل با پیام های SMB سروکار دارند و این پیام ها شامل فیلد هایی مانند تعداد بایت برای آدرس و پرچم ها می باشند که با یک بافر با طول متغیر همراه است.
متغیرهایی هم وجود دارند که حاوی داده های ناشناخته هستند. در کد اثبات مفهموم یا به اصطلاح POC ارائه شده ما علاوه بر تابع compression مخزن WindowsProtocolTestSuites مایکروسافت را نیز اضافه می کنیم تا پیام ها و نمایش آن را تسهیل بخشیم
به کاربران خانگی و مشاغل مختلف توصیه میکنیم به روز رسانی های لازمه را اعمال کنند زیرا این آسیب پذیری همانطور که قبلاً گفتیم در ویندوز ۱۰ نسخه ۱۹۰۹ و ۱۹۰۳ موجود است. برخی مواقع Patch قابل استفاده نیست ، بنابراین در آن زمان کاربران می توانند با مسدود کردن پورت ۴۴۵ موقتا از بروز مخاطره جلوگیری کنند.
Windows 10 Version 2004
| Update | SMBGhost | SMBleed |
| KB4557957 | Not Vulnerable | Not Vulnerable |
| Before KB4557957 | Not Vulnerable | Vulnerable |
Windows 10 Version 1909
| Update | SMBGhost | SMBleed |
| KB4560960 | Not Vulnerable | Not Vulnerable |
| KB4551762 | Not Vulnerable | Vulnerable |
| Before KB4551762 | Vulnerable | Vulnerable |
Windows 10 Version 1903
| Update | Null Dereference Bug | SMBGhost | SMBleed |
| KB4560960 | Fixed | Not Vulnerable | Not Vulnerable |
| KB4551762 | Fixed | Not Vulnerable | Vulnerable |
| KB4512941 | Fixed | Vulnerable | Vulnerable |
| None of the above | Not Fixed | Vulnerable | Potentially vulnerable |
منبع: ایران سایبر
