یک آسیب‌پذیری 20 ساله در سرویس SMB ویندوز در نشست دِف‌کان افشاء خواهد شد

انتظار می‌رود که یک آسیب‌پذیری 20 ساله در سرویس SMB ویندوز، روز شنبه در نشست دِف‌کان افشاء شود. مایکروسافت اعلام کرده است این آسیب‌پذیری را وصله نخواهد کرد. این آسیب‌پذیری به‌نحوی است که مهاجم از راه دور می‌تواند به‌راحتی و با استفاده از 20 خط کد پایتون و یک رسپبری پای از آن بهره‌برداری کند. 

 

این آسیب‌پذیری تمامی نسخه‌های پروتکل SMB و تمامی سامانه عامل‌ها تا ویندوز 2000 را تحت تأثیر قرار می‌دهد. به نظر می‌رسد این پروتکل خیلی قبل‌تر از ویندوز 2000 در سامانه عامل‌ها معرفی شده است. محققان امنیتی این آسیب‌پذیری را SMBloris نام‌گذاری کرده‌اند چرا که با یک حمله که در سال 2009 رخ داد و Slowloris نام داشت، قابل مقایسه است. هر دوی این آسیب‌پذیری‌ها با هدف قرار دادن یک ماشین، می‌توانند باعث فروپاشیِ یک کارگزار قدرتمند شوند ولی Slowloris برخلاف SMBloris کارگزارهای وب را هدف قرا داده بود.

 

محققان امنیتی می‌گویند: «مشابه حمله‌ی Slowloris، حمله‌ی اخیر نیز نیازمند باز کردن ارتباط‌های زیادی به کارگزار است ولی ایجاد این ارتباطات برای مهاجم بسیار کم هزینه است بنابراین از روی یک ماشین نیز به‌راحتی می‌توان حمله را انجام داد.» محققی که این گزارش‎ها را ارائه کرده، دیلون نام دارد. دیلون جزو اولین کسانی است که بهره‌برداری EternalBlue متعلق به آژانس امنیت ملی آمریکا را مورد بررسی و تجزیه و تحلیل قرار داده است. همان‌طور که در خبرها مطلع شدیم، این بهره‌برداری در حملات باج‌افزاری «گریه» و «نات‌پِتیا» مورد استفاده قرار گرفت. 

 

دیلون در توضیحات خود گفت: «زمانی‌که بر روی بهره‌برداری EternalBlue کار می‌کردیم، ما در هسته‌ی ویندوز الگوی خاصی از تخصیص حافظه‌ی صفحه‌بندی نشده را مشاهده کردیم. حافظه‌ی صفحه‌بندی نشده بخشی از حافظه است که باید در RAM فیزیکی رزرو شود. این قسمت از حافظه، قسمت بسیار باارزشی است. ما نشان دادیم که چطور می‌توان حتی بر روی کارگزارهای بسیار بزرگ، این بخش از حافظه را اشباع کرد و مصرف آن را به بیش از حد رساند. ما می‌توانیم کارگزار بزرگی را تنها از طریق یک رسپبری پای از کار بیندازیم.»

 

این اشکال زمانی‌که تحلیل EternalBlue به پایان رسید، اوایل ماه جولای به‌طور خصوصی به مایکروسافت گزارش شد. مایکروسافت در پاسخ به محققان گفته بود، دو گروه امنیتی داخلی این آسیب‌پذیری را بررسی کرده و اهمیت آن را متوسط شناسایی کردند و احتمالاً این اشکال وصله نخواهد شد. روز شنبه در نشست دِف‌کان، 60 روز از ارسال گزارش این آسیب‌پذیری توسط محققان امنیتی به شرکت مایکروسافت می‌گذرد. 

 

سخنگوی مایکروسافت به خبرگزاری‌ها اعلام کرده این مسئله، آسیب‌پذیریِ جدی نیست و این شرکت برنامه‌ای برای وصله‌ی آن در قالب به‌روزرسانی امنیتی ندارد. مایکروسافت گفته مشتریانی که در این خصوص نگران هستند، می‌توانند دسترسی‌ها به سرویس SMBv1 از اینترنت را مسدود کنند. دیلون در می‌گوید: «دلیل اینکه مایکروسافت این اشکال را با درجه‌ی اهمیت متوسط در نظر گرفته، این است که برای اجرای آن باید ارتباطات زیادی با کارگزار ایجاد شود که این کار را می‌توان از روی یک ماشین مانند رسپبری پای انجام داد و کارگزارهای بسیار بزرگ را از کار انداخت.»

 

این آسیب‌پذیری به دلیل نحوه‌ی پردازش بسته‌ها توسط SMB و تخصیص حافظه وجود دارد. محققان اعلام کردند روشی را پیدا کرده‌اند که از این سامانه‌ی تخصیص حافظه بهره‌برداری کرده و کارگزار بزرگی را از کار بیندازند. محققان گفتند این حمله می‌تواند حملات دیگری مانند منع سرویس توزیع‌شده را شدت بخشد چرا که شما برای حمله‌ی منع سرویس توزیع‌شده می‌توانید تنها از یک ماشین استفاده کرده و کارگزارهای متعددی را از کار بیندازید. 

 

در این حمله می‌توان تمامی حافظه‌ای که در اختیار کارگزار وجود دارد را به دست آورد. این محققان اعلام کرده‌اند در نشست خبری خود دموی این حمله را نشان داده و جزئیات بیشتری از این آسیب‌پذیری را توضیح خواهند داد. آن‌ها همچنین اعلام کردند به نظر می‌رسد وصله کردن این آسیب‌پذیری کار سختی برای مایکروسافت باشد چرا که تخصیص حافظه‌ی مربوط به سرویس SMB، نزدیک به 20 سال است که پیاده‌سازی شده است. با این حال محققان اعلام کردند شاید یک راه‌حل کاهشی این باشد که از طریق دیواره‌ی آتش تعداد ارتباطات ایجادشده با کارگزار بر روی درگاه‌های SMB را محدود کرد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید