این آسیبپذیری به هکرهای راه دور اجازه میدهد تا شرایط رد سرویس (DoS) را روی تعدادی از نسخههای ویندوز کلاینت راهاندازی کند.
سازمانهای مختلفی از جمله US-CERT در مورد باگ تخریب حافظه روز صفرم در چندین نسخه از ویندوزهای مایکروسافت هشدار دادند که میتواند به هکرهای راه دور این امکان را بدهد که, یک سیستم آسیبپذیر ایجاد نمایند تا این سیستم کرش کرده و یا راهاندازی مجدد شود.
کد اثبات مفهوم جهت بهرهبرداری از این آسیبپذیری, هماکنون در سایت Github قرار گرفته و در دسترس عموم افرادی که بخواهند از آن استفاده کنند، قرار گرفته است. تاکنون هیچ وصلهای جهت این آسیبپذیری که تهدیدی جهت کسبوکارهای کوچک و کاربران خانگی محسوب میشود, وجود ندارد.
واحد Cert دانشگاه کارنگی ملون در یک هشدار (http://www.kb.cert.org/vuls/id/867968) بیان کرد که: "این مشکل به دلیل روش خاصی هست که تعدادی از نسخههای ویندوز، به ترافیک Server Message Block (SMB) رسیدگی میکنند". هکرها میتوانند با ارسال پیام دستکاری شده خاصی از طرف سرورهای مخرب, شرایط سرریز بافر را روی سیستمهای آسیبپذیر بوجود آورده و باعث شوند که این سیستمها، کراش کنند. آنها اضافه کردند که چندین روش در اختیار هکرها میباشد تا به سیستم مشتری ویندوز بهمنظور اتصال آن به یک سرور SMB مخرب, دسترسی پیدا کنند. بعضی اوقات ممکن است این اتفاق بدون هیچ تعاملی با کاربر صورت گیرد.
پروتکل اشتراک فایل SMB مایکروسافت (https://technet.microsoft.com/en-us/library/hh831795.aspx) به کلاینتهای ویندوز این اجازه را میدهد که درخواست سرویس بدهند و فایلها را از ویندوز سرور از طریق شبکه، بخوانند و یا بنویسند. این موضوع در طول سالها، منبع مشکلات امنیتی متعددی بوده است.
سخنگوی مایکروسافت شدت این مشکل را کم اهمیت جلوه داده و طی بیانیهای میگوید که: "ویندوز فقط یک پلتفرمی هست که با همکاری مشتریان همراه میباشد تا گزارش مشکلات امنیتی را بررسی کرده و در اسرع وقت، دستگاهای تحت تاثیر را بهروزرسانی کند". وی در ادامه میگوید: "سیاست استاندارد ما در مورد مسائل کم خطر این است که با استفاده از بهروزرسانی حاضر برنامه سوم خود، این خطر را رفع کنیم".
یوهانس یولریچ رئیس Internet Storm Center در موسسه SANS میگوید او بهطور کامل تست کرده هست که سیستمهای وصلهدار ویندوز 10 که مفهوم اثبات کد، استفاده میکنند، سریعا یک صفحه آبی مرگ (blue screen of death) برای آنها ظاهر میشود. وی میگوید به نظر میرسد تمامی ویندوزهای کلاینت که SMBv3 را حمایت میکنند مانند Windows 2012 and 2016, برای سوءاستفاده، آسیبپذیر میباشند.
یولریچ به سایت DarkReading میگوید: "این باگ, باگ رد سرویس هست. اگر سیستمی مورد سوءاستفاده قرار گیرد, سیستم راهاندازی مجدد میشود". این باگ به نظر نمیرسد که راهی برای هکرها ایجاد کند که بهوسیله آن کدی را اجرا نمایند یا شرایط رد سرویس را راهاندازی نمایند.
یولریچ میگوید: "بهرهبرداری از آسیبپذیری آسان است. هکر میتواند با استفاده از این بهرهبرداری, یک سرور SMBv3 راهاندازی نماید سپس قربانی را تحریک کند تا به آن متصل شود". او میگوید: "راحتترین راه برای تحقق این راهکار, قرار دادن لینک URL سروری در صفحهوب است".
URL ممکن است مشابه ipc$\192.0.2.1\\ باشد که 192.0.2.1 آدرس IP سرور میباشد. تگ تصویر مشابه <img src=”[malicious url]”> هست و باعث این سوءاستفاده میشود.
یولریچ میگوید: "آسیبپذیری دلیل دیگری است که لازم است اتصالات SMB خروجی از طریق بلاککردن پورتهای 445 135, و 139 ، مسدود شود". بسیاری از شبکهها، این پورتهای خروجی را نمیبندند که علاوه بر این حمله, امکان حملات دیگر را نیز فراهم میکنند.
وی اشاره میکند که کاربران کسب وکارهای کوچک و خانگی در مقایسه با سازمانها، بیشتر تحت تاثیر این موضوع قرار میگیرند چون فایروالهای کسبوکارهای کوچک و خانگی, معمولا بهصورت پیشفرض این اتصالات را مسدود نمیکنند.
CERT در راهنمای امنیتی خود میگوید که در حال حاضر از "راهحلی عملی" جهت رفع این مشکل بیاطلاع هست و از سازمانها خواسته است که اتصالات خروجی SMB از شبکههای محلی به شبکههای گسترده در پورتهای TCP، 139 و 445 و در پورتهای UDP، 137 و 138 مسدود کنند.
موضوعات مرتبط:
1. New SMB Relay Attack Steals User Credentials Over Internet
2. Google Warns Of Windows Zero-Day Under Attack
3. Microsoft Fires Back At Google For Windows 0-Day Disclosure
- 35