חלונות 10
המהדורות האחרונות של Windows 10, כלומר v1903 ו- v1909, מכילות פגיעות אבטחה ניתנת לניצול שניתן להשתמש בה כדי לנצל את פרוטוקול Block Block (SMB). ניתן לפגוע בהצלחה בשרתים ובלקוחות SMBv3 ולהפעיל קוד שרירותי. מה שנוגע עוד יותר הוא העובדה שניתן לנצל את הפגיעות הביטחונית מרחוק באמצעות כמה שיטות פשוטות.
מיקרוסופט הכירה בפגיעות אבטחה חדשה בפרוטוקול Microsoft Server Message Block 3.1.1 (SMB). נראה כי החברה הדליפה בעבר את הפרטים בטעות במהלך עדכוני ה- Patch Tuesday השבוע. ה ניתן לנצל את הפגיעות מרחוק לביצוע קוד בשרת SMB או לקוח. בעיקרו של דבר, מדובר בבאג של RCE (ביצוע קוד מרחוק).
מיקרוסופט מאשרת פגיעות אבטחה בתוך SMBv3:
ב ייעוץ ביטחוני פורסם אתמול, מיקרוסופט הסבירה כי הפגיעות משפיעה על הגרסאות 1903 ו- 1909 של Windows 10 ו- Windows Server. עם זאת, החברה מיהרה לציין כי הפגם עדיין לא נוצל. אגב, על פי הדיווחים החברה הדליפה את הפרטים אודות הפגיעות הביטחונית שתויגה כ- CVE-2020-0796. אך תוך כדי כך, החברה לא פרסמה שום מידע טכני. מיקרוסופט רק הציעה סיכומים קצרים המתארים את הבאג. לאסוף את אותן חברות אבטחה דיגיטליות מרובות, המהוות חלק מתוכנית ההגנות האקטיביות של החברה ומקבלות גישה מוקדמת למידע על באגים, פרסמה את המידע.
CVE-2020-0796 - פגיעות SMBv3 'מתולעת'.
גדול…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10 במרץ 2020
חשוב לציין כי לבאג האבטחה SMBv3 אין עדיין תיקון מוכן. ניכר כי מיקרוסופט אולי תכננה לשחרר תיקון לפגיעות זו אך לא הצליחה, ואז לא הצליחה לעדכן את השותפים והספקים בתעשייה. זה הוביל לפרסום הפגיעות הביטחונית שעדיין ניתן לנצל בטבע.
כיצד יכולים תוקפים לנצל את פגיעות האבטחה של SMBv3?
בעוד הפרטים עדיין מופיעים, מערכות מחשב המריצות את Windows 10 גרסה 1903, Windows Server v1903 (התקנת Core Server), Windows 10 v1909 ו- Windows Server v1909 (התקנת Server Core) מושפעות. עם זאת, סביר מאוד להניח שחזרות קודמות של מערכת ההפעלה של Windows עלולות להיות פגיעות.
באג קריטי ביישום ה- SMBv3 של מיקרוסופט פורסם בנסיבות מסתוריות. https://t.co/8kGcNEpw7R
- זק ויטאקר (@zackwhittaker) 11 במרץ 2020
בהסבר הרעיון והסוג הבסיסי של פגיעות האבטחה של SMBv3, ציינה מיקרוסופט: 'כדי לנצל את הפגיעות כנגד שרת SMB, תוקף לא מאומת יכול לשלוח חבילה בעלת מבנה מיוחד לשרת SMBv3 ממוקד. כדי לנצל את הפגיעות כנגד לקוח SMB, תוקף לא מאומת יצטרך להגדיר שרת SMBv3 זדוני ולשכנע משתמש להתחבר אליו. '
למרות שפרטים מעטים מעטים, המומחים מצביעים על כך שהבאג של SMBv3 יכול לאפשר לתוקפים מרוחקים לקחת שליטה מלאה במערכות הפגיעות. יתר על כן, הפגיעות הביטחונית עשויה להיות גם תולעתית. במילים אחרות, תוקפים יכולים לבצע התקנות אוטומטיות באמצעות שרתי SMBv3 שנפגעו ולתקוף מספר מכונות.
כיצד להגן על שרתי מערכת ההפעלה ו- SMBv3 של Windows מפני פגיעות אבטחה חדשה?
ייתכן שמיקרוסופט הודתה בקיומה של פגיעות אבטחה בתוך SMBv3. עם זאת, החברה לא הציעה שום תיקון שיגן על אותו. משתמשים עשויים השבת דחיסת SMBv3 כדי למנוע תוקפים ממיצוי הפגיעות כנגד שרת SMB. הפקודה הפשוטה לביצוע בתוך PowerShell היא כדלקמן:
Set-ItemProperty -Path 'HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters' השבת דחיסה - סוג DWORD - ערך 1 - כוח
כדי לבטל את ההגנה הזמנית מפני פגיעות האבטחה SMBv3, הזן את הפקודה הבאה:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force
הרבה חברות אינן פגיעות עבור # SMBv3 CVE-2020-0796, הם עדיין מריצים את Windows XP / 7 ואת שרת 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11 במרץ 2020
חשוב לציין כי השיטה אינה מקיפה, והיא רק תעכב או תרתיע תוקף. מיקרוסופט ממליצה לחסום את יציאת TCP '445' בחומות האש ובמחשבי הלקוח. 'זה יכול לעזור בהגנה על רשתות מפני התקפות שמקורן מחוץ למתחם הארגון. חסימת הנמלים המושפעים בהיקף הארגון היא ההגנה הטובה ביותר כדי למנוע התקפות מבוססות אינטרנט, 'יעצה מיקרוסופט.
תגים חלונות חלונות 10
![[FIX] קוד שגיאה ERR_MISSING_PARTNUMBER בעת הפעלת Office?](https://jf-balio.pt/img/how-tos/81/error-code-err_missing_partnumber-when-activating-office.png)
