مایکروسافت بسته امنیتی اورژانسی برای آسیب پذیری جدید ویندوز منتشر کرد

چند روز پیش خبر کشف یک آسیب‌پذیری در پروتکل SMBv3 ویندوز منتشر شد و اکنون مایکروسافت بسته‌ی امنیتی مخصوص آن را منتشر کرده است.

مایکروسافت بسته‌ی امنیتی اورژانسی را برای ویندوز منتشر کرد که خارج از زمان‌بندی مرسوم به‌روزرسانی سیستم‌عامل به دست کاربران رسید. این بسته‌ی امنیتی برای آسیب‌پذیری خطرناکی ارائه شد که چندی پیش اخبار انتشار آن به رسانه‌ها رسیده بود. آسیب‌پذیری مذکور اصطلاحا توانایی گسترش کرمی (Wormable) دارد و از یک سیستم آلوده به سیستم دیگر نفوذ می‌کند.

حفره‌ی امنیتی جدید ویندوز، در نسخه‌ی سوم پروتکل Server Message Block موسوم به SMBv3 کشف شد که تنها در نسخه‌های کلاینت و سرور ویندوز ۱۰ ورژن ۱۹۰۳ و ۱۹۰۹ وجود دارد. اگرچه سوءاستفاده از آسیب‌پذیری مذکور نیاز به ابزارها و مهارت ویژه دارد؛ اما مایکروسافت و محققان امنیتی مستقل، آن را خطرناک توصیف می‌کنند. درواقع خطر آسیب‌پذیری از آنجا نشئت می‌گرد که مجرمان می‌توانند با سوءاستفاده از آن، شبکه‌ای از حمله‌های کرمی را برنامه‌ریزی کنند. در چنین حمله‌هایی، با نفوذ به یک کامپیوتر می‌توان ساختاری ایجاد کرد که تمامی سیستم‌های ویندوزی متصل هم به‌مرور آلوده شوند. چنین سناریویی در آسیب‌پذیری‌های واناکرای و نات‌پتیا در سال ۲۰۱۷ اجرا شد.

مایکروسافت در سند اطلاع‌رسانی که با بسته‌ی امنیتی منتشر کرد، گفت که تاکنون هیچ مدرکی مبنی بر سوءاستفاده از آسیب‌پذیری جدید کشف نشده است. البته آن‌ها از برچسب «احتمال سوءاستفاده» برای این آسیب‌پذری استفاده کردند. به‌بیان دیگر مجرمان سایبری احتمالا در آینده از آن سوءاستفاده خواهند کرد.

در بخشی از بولتن اطلاع‌رسانی مایکروسافت می‌خوانیم:

یک آسیب‌پذیری با امکان دسترسی و اجرای کد از راه دور در شیوه‌های اجرایی و مدیریت ریکوئست های ویژه در پروتکل SMBv3 وجود دارد. مجرم سایبری که توانایی سوءاستفاده از آسیب‌پذیری را داشته باشد، می‌تواند کدهای مورد نظر را در کلاینت یا سرور قربانی اجرا کند.

مهاجم سایبری برای سوءاسفتاده از آسیب‌پذیری در سرور می‌تواند یک پکت ویژه را به سرور SMBv3 هدف ارسال کند. برای سوءاستفاده از آن در سیستم‌های کلاینت، مهاجم باید یک سرور SMBv3 آلوده طراحی و قربانی را به اتصال به آن ترغیب کند.

به‌روزرسانی امنیتی با اصلاح روش مدیریت ریکوئست‌ها در پروتکل SMBv3، سوءاستفاده از آن را غیرممکن می‌کند.

کمی پس از آنکه مایکروسافت بسته‌ی امنیتی خارج از برنامه را منتشر کرد، محققان شرکت امنیتی Sophos تحقیق عمیقی روی آسیب‌‌پذیری داشتند. آن‌ها در بخشی از تحلیل خود نوشتند:

آسیب‌پذیری شامل سرریز عدد صحیح در یکی از درایورهای کرنل می‌شود. مهاجم می‌تواند پکت مخرب را برای سوءاستفاده از همین سرریزها یا شرایط دیگر در کرنل، طراحی کند.

توضیحات فنی گروه Sophos شامل جزئیات زیاد تخصصی می‌شود. به‌بیان ساده می‌توان گفت که یک مهاجم سایبری با کد سوءاستفاده‌ی حرفه‌ای شاید بتواند رمزهای عبور و اطلاعات حساس دیگر را به‌صورت متن ساده در سیستم قربانی بخواند. در شرایط دیگر مهاجم می‌تواند یک خط فرمان در سیستم قربانی اجرا کند و کنترل آن را به دست بگیرد. اترنال‌بلو (EternalBlue) از حمله‌های مشابهی بود که ابتدا توسط NSA طراحی و بهره‌برداری شد. سپس مجرمان سایبری توانستند حمله‌ی مذکور را از آژانس امنیت ملی ایالات متحده سرقت کنند. به‌هرحال آن حمله هم از آسیب‌پذیری SMB سوءاستفاده می‌کرد و در زمان اجرای تابعی در آن پروتکل ازسوی کاربر، کد مخرب را اجرا می‌کرد.

روش‌های متعدد سوءاستفاده

تحلیل امنیتی گروه Sophos می‌گوید مجرمان از سه طریق می‌توانند از آسیب‌‌پذیری سوءاستفاده کنند:

سناریوی اول: مهاجم، فایل‌های اشتراکی ماشین را هدف قرار می‌دهد. اگر یک کاربر یا مدیر سیستم، تنظیمات پیش‌فرض را برای بازکردن پورت ۴۴۵ تغییر داده یا ویندوز فایروال را غیرفعال کرده باشد، ماشین برای حمله‌های از راه دور با قابلیت کنترل سیستم توسط مجرم، آسیب‌پذیر می‌شود. اگر سیستم در یک دامین ویندوزی هم باشد، احتمال آسیب‌پذیری افزایش می‌یابد.

تیم تحقیقاتی SophosLabs در پستی وبلاگی، سوءاستفاده را اینگونه شرح دادند:

سیستمی که پچ امنیتی را دریافت نکند و پورت SMB آسیب‌پذیر آن به اینترنت عمومی متصل باشد، احتمالا هدفی برای حمله‌ی کرمی مانند واناکرای خواهد بود. نکته‌ی اصلی این است که مهاجم باید روش سوءاستفاده‌ی بسیار حرفه‌ای طراحی کند تا تمامی راهکارهای امنیتی مایکروسافت در ویندوز ۱۰ را دور بزند. به‌علاوه کامپیوتر هدف هم باید پورت 445/tcp را برای تمامی اتصال‌ها از بیرون، باز گذاشته باشد. نیاز به همه‌ی این شرایط باعث کاهش اثرگذاری آسیب‌پذیری می‌شود.

سناریوی دوم: مهاجم، کاربر را ترغیب به اتصال به یک سرور مخرب می‌کند. او می‌تواند با سوءاستفاده از پیا‌م‌ها اسپم حاوی لینک اتصال، چنین اقدامی را انجام دهد. وقتی قربانی روی لینک موجود در پیام اسپم کلیک می‌کند، به سرور مخرب متصل می‌شود. سپس مهاجم کنترل کل ماشین را در دست می‌گیرد. در نمونه‌ای دیگر، مهاجم که دسترسی نسبی به یک شبکه دارد، یکی از دستگاه‌های مورد اعتماد در سازمان را آلوده می‌کند. سپس ماشین‌هایی که با استفاده از پروتکل SMBv3 به ماشین آلوده متصل می‌شوند، در معرض خطر قرار می‌گیرند.

وقتی دو روش ذکر شده در پاراگراف بالا با هم ترکیب شوند، مهاجم می‌تواند به یک شبکه‌ی هدف دسترسی اولیه پیدا کند و سپس به کامپیوترهای حساس‌تر با دسترسی‌های بیشتر وارد شود. تنها نکته‌ی منفی و مانع بر سر راه مهاجم این است که باید مهندسی اجتماعی را برای فریب دادن کاربر هدف، به‌کار بگیرد.

سناریوی سوم: مهاجمی که ازطریق روش‌های متنوع دسترسی اولیه‌ی محدودی به یک کامپیوتر آسیب‌پذیر پیدا می‌کند، از آسیب‌‌پذیری SMBv3 برای اجرای کدهای مخرب استفاده می‌کند که حقوق سیستمی مشابهی با کاربر هدف دارند. از آن مرحله، مهاجمان احتمالا می‌توانند دسترسی خود را به سطح سیستمی افزایش دهند.

محققان Sophos و دیگر منابع تحلیلی امنیتی تأکید می‌کنند که رویکردهای امنیتی پیچیده‌ی مایکروسافت در ویندوز ۱۰، سوءاستفاده از آسیب‌پذیری امنیتی جدید را برای مجرمان سایبری دشوار می‌کند. رویکردهای مذکور، حتی در زمان حمله‌ی سایبری منجر به توقف فعالیت سیستم می‌شوند تا به کاربر یا مدیر سیستم، هشدار لازم را مبنی بر نفوذ سایبری ارائه کنند. البته وجود سپرهای امنیتی بدین معنی نیست که سوءاستفاده از آسیب‌پذیری SMBv3 اصلا رخ نمی‌دهد. مهندسی معکوس بسته‌ی امنیتی جدید مایکروسافت در ترکیب با دیگر توانایی‌های نفوذ سایبری می‌تواند سوءاستفاده را برای مجرمان حرفه‌ای ممکن کند.

هر کاربری که از ویندوز ۱۰ استفاده می‌کند (خصوصا آن‌هایی که از قابلیت‌های اشتراک پرینتر و فایل و منابع دیگر در شبکه استفاده می‌کنند)، باید هرچه سریع‌تر بسته‌ی امنیتی جدید را دریافت و نصب کند. برای آن دسته از کاربرانی که قادر به نصب بسته‌ی امنیتی نیستند، راهکارهای کاهش ریسک جایگزین مانند غیرفعال‌سازی فشرده‌سازی در SMB و مسدود کردن پورت ۴۴۵ برای دسترسی خارجی اینترنتی پیشنهاد می‌شود. محققان امنیتی، راهکار دوم را از مدت‌ها پیش برای جلوگیری از انواع حمله‌ها پیشنهاد می‌دهند. از راهکاهای دیگر می‌توان به مسدود کردن پورت ۴۴۵ در داخل یک شبکه‌ی محلی اشاره کرد. البته Sophos می‌گوید این راهکار عواقبی را هم از لحاظ ارتباط داخلی به‌همراه دارد.

پورت 445 TCP تنها برای کاربردهای SMB استفاده نمی‌شود و بخش‌های حیاتی دیگر در ویندوز دامین هم از آن بهره می‌برند. بهترین راهکار مقابله، نصب بسته‌ی امنیتی است.

مایکروسافت ابتدا آسیب‌پذیری امنیتی را آن‌چنان جدی نگرفته بود و زمان‌بندی خاصی هم برای ارائه‌ی بسته‌ی امنیتی اعلام نکرد. اکنون به‌نظر می‌رسد احتمال سوءاستفاده از آسیب‌پذیری افزایش پیدا کرده باشد که ردموندی‌ها مجبور به انتشار بسته‌ی اورژانسی شده‌اند.