در اواخر سال ۱۳۹۵یک #آسیبپذیری جدی با سطح خطر بحرانی با نام EternalBlueدر پروتکل#SMBافشاء شد که نسخههای مختلف سیستم عامل ویندوز را تحت تاثیر قرار میداد. از آن زمان تا به حال انواع کدهای سوءاستفاده و #باج_افزار و جاسوسافزار و غیره از این آسیبپذیری سوءاستفاده نمودهاند. بررسیهای مجددمرکز ماهر نشاندهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور می باشد. از اینرو لازم است راهبران شبکه نسبت به امنسازی آن اقدام نمایند. برخی از مهمترین گامهای امنسازی این پروتکل عبارتند از:
- بهروزرسانی: با توجه به انتشار وصلههای امنیتی مرتبط توسط شرکت مایکروسافت (حتی برای ویندوز XPخارج از دوره پشتیبانی)، لازم است این سرویس در تمامی سیستمها به روزرسانی شود.
- غیرفعال نمودن SMB 1.0در سمت ماشینهای سرویسدهنده
- غیر فعال نمودن SMBدر سمت ماشینهای سمت کلاینت (درصورت عدم نیاز)
- اعمال SMB Signingبهطور جداگانه برای ارتباطهای ورودی و خروجی (از طریق Group Policyیا از طریق رجیستری).
- جلوگیری از ارتباطات Null Session(از طریق رجیستری)
- غیرفعال نمودن NetBIOS over TCP/IP
- استفاده از دیواره آتش و بستن پورتهای مربوط به NetBIOS over TCP/IP
- رمز نمودن ترافیک SMB
پیرو درخصوص وجود آسیبپذیری سرویس #SMB (درگاه ۴۴۵) در سطح کشور، بررسیهای انجام شده نشان دهنده افزایش سطح حملات روی این درگاه است. این درگاه به صورت پیشفرض در پروتکل SMB مورد استفاده قرار میگیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که میتواند گویای افزایش آلودگی در کشور باشد. از این رو لازم است تا پاکسازی سیستمهای آلوده داخلی مورد توجه قرار گیرد.خلاصهای از وضعیت حملات ثبت شده از ابتدای مهر به شرح زیر است:
بر اساس گزارش منتشر شده از #کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کردهاند که با بهرهگیری از این آسیبپذیری، اجازه کنترل راهدور را برای مهاجم فراهم میکند. علاوه بر آن دو چارچوب پیچیده دیگر با نامهای DanderSpritz و FuzzBunch نیز توسط این گروه در سال ۲۰۱۷ ارائه شده است که دارای قابلیت تحلیل میزبان قربانی، آسیبپذیریهای قابل اکسپلویت و سایر مولفههای مانیتور میزبان قربانی هستند.