در اواخر سال ۱۳۹۵یک #‫آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlueدر پروتکل#‫SMBافشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و #‫باج‌_افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده نموده‌اند. بررسی‌های مجددمرکز ماهر نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور می باشد. از این‌رو لازم است راهبران شبکه نسبت به امن‌سازی آن اقدام نمایند. برخی از مهمترین گام‌های امن‌سازی این پروتکل عبارتند از:

  1. به‌روزرسانی: با توجه به انتشار وصله‌های امنیتی مرتبط توسط شرکت مایکروسافت (حتی برای ویندوز XPخارج از دوره پشتیبانی)، لازم است این سرویس در تمامی سیستم‌ها به روزرسانی شود.
  2. غیرفعال نمودن SMB 1.0در سمت ماشین‌های سرویس‌دهنده
  3. غیر فعال نمودن SMBدر سمت ماشین‌های سمت کلاینت (درصورت عدم نیاز)
  4. اعمال SMB Signingبه‌طور جداگانه برای ارتباط‌های ورودی و خروجی (از طریق Group Policyیا از طریق رجیستری).
  5. جلوگیری از ارتباطات Null Session(از طریق رجیستری)
  6. غیرفعال نمودن NetBIOS over TCP/IP
  7. استفاده از دیواره آتش و بستن پورت‌های مربوط به NetBIOS over TCP/IP
  8. رمز نمودن ترافیک SMB

پیرو  درخصوص وجود آسیب‌پذیری سرویس #‫SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است. این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد. از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.خلاصه‌ای از وضعیت حملات ثبت شده از ابتدای مهر به شرح زیر است:

بر اساس گزارش منتشر شده از #‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند. علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال ۲۰۱۷ ارائه شده است که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.