کمیته رکن چهارم – انتظار میرود که یک آسیبپذیری ۲۰ ساله در سرویس SMB ویندوز، روز شنبه در نشست دِفکان افشاء شود. مایکروسافت اعلام کرده است این آسیبپذیری را وصله نخواهد کرد. این آسیبپذیری بهنحوی است که مهاجم از راه دور میتواند بهراحتی و با استفاده از ۲۰ خط کد پایتون و یک رسپبری پای از آن بهرهبرداری کند.
این آسیبپذیری تمامی نسخههای پروتکل SMB و تمامی سامانه عاملها تا ویندوز ۲۰۰۰ را تحت تأثیر قرار میدهد. به نظر میرسد این پروتکل خیلی قبلتر از ویندوز ۲۰۰۰ در سامانه عاملها معرفی شده است. محققان امنیتی این آسیبپذیری را SMBloris نامگذاری کردهاند چرا که با یک حمله که در سال ۲۰۰۹ رخ داد و Slowloris نام داشت، قابل مقایسه است. هر دوی این آسیبپذیریها با هدف قرار دادن یک ماشین، میتوانند باعث فروپاشیِ یک کارگزار قدرتمند شوند ولی Slowloris برخلاف SMBloris کارگزارهای وب را هدف قرا داده بود.
محققان امنیتی میگویند: «مشابه حملهی Slowloris، حملهی اخیر نیز نیازمند باز کردن ارتباطهای زیادی به کارگزار است ولی ایجاد این ارتباطات برای مهاجم بسیار کم هزینه است بنابراین از روی یک ماشین نیز بهراحتی میتوان حمله را انجام داد.» محققی که این گزارشها را ارائه کرده، دیلون نام دارد. دیلون جزو اولین کسانی است که بهرهبرداری EternalBlue متعلق به آژانس امنیت ملی آمریکا را مورد بررسی و تجزیه و تحلیل قرار داده است. همانطور که در خبرها مطلع شدیم، این بهرهبرداری در حملات باجافزاری «گریه» و «ناتپِتیا» مورد استفاده قرار گرفت.
دیلون در توضیحات خود گفت: «زمانیکه بر روی بهرهبرداری EternalBlue کار میکردیم، ما در هستهی ویندوز الگوی خاصی از تخصیص حافظهی صفحهبندی نشده را مشاهده کردیم. حافظهی صفحهبندی نشده بخشی از حافظه است که باید در RAM فیزیکی رزرو شود. این قسمت از حافظه، قسمت بسیار باارزشی است. ما نشان دادیم که چطور میتوان حتی بر روی کارگزارهای بسیار بزرگ، این بخش از حافظه را اشباع کرد و مصرف آن را به بیش از حد رساند. ما میتوانیم کارگزار بزرگی را تنها از طریق یک رسپبری پای از کار بیندازیم.»
این اشکال زمانیکه تحلیل EternalBlue به پایان رسید، اوایل ماه جولای بهطور خصوصی به مایکروسافت گزارش شد. مایکروسافت در پاسخ به محققان گفته بود، دو گروه امنیتی داخلی این آسیبپذیری را بررسی کرده و اهمیت آن را متوسط شناسایی کردند و احتمالاً این اشکال وصله نخواهد شد. روز شنبه در نشست دِفکان، ۶۰ روز از ارسال گزارش این آسیبپذیری توسط محققان امنیتی به شرکت مایکروسافت میگذرد.
سخنگوی مایکروسافت به خبرگزاریها اعلام کرده این مسئله، آسیبپذیریِ جدی نیست و این شرکت برنامهای برای وصلهی آن در قالب بهروزرسانی امنیتی ندارد. مایکروسافت گفته مشتریانی که در این خصوص نگران هستند، میتوانند دسترسیها به سرویس SMBv۱ از اینترنت را مسدود کنند. دیلون در میگوید: «دلیل اینکه مایکروسافت این اشکال را با درجهی اهمیت متوسط در نظر گرفته، این است که برای اجرای آن باید ارتباطات زیادی با کارگزار ایجاد شود که این کار را میتوان از روی یک ماشین مانند رسپبری پای انجام داد و کارگزارهای بسیار بزرگ را از کار انداخت.»
این آسیبپذیری به دلیل نحوهی پردازش بستهها توسط SMB و تخصیص حافظه وجود دارد. محققان اعلام کردند روشی را پیدا کردهاند که از این سامانهی تخصیص حافظه بهرهبرداری کرده و کارگزار بزرگی را از کار بیندازند. محققان گفتند این حمله میتواند حملات دیگری مانند منع سرویس توزیعشده را شدت بخشد چرا که شما برای حملهی منع سرویس توزیعشده میتوانید تنها از یک ماشین استفاده کرده و کارگزارهای متعددی را از کار بیندازید.
در این حمله میتوان تمامی حافظهای که در اختیار کارگزار وجود دارد را به دست آورد. این محققان اعلام کردهاند در نشست خبری خود دموی این حمله را نشان داده و جزئیات بیشتری از این آسیبپذیری را توضیح خواهند داد. آنها همچنین اعلام کردند به نظر میرسد وصله کردن این آسیبپذیری کار سختی برای مایکروسافت باشد چرا که تخصیص حافظهی مربوط به سرویس SMB، نزدیک به ۲۰ سال است که پیادهسازی شده است. با این حال محققان اعلام کردند شاید یک راهحل کاهشی این باشد که از طریق دیوارهی آتش تعداد ارتباطات ایجادشده با کارگزار بر روی درگاههای SMB را محدود کرد.
