انتشار کد اکسپلویت عمومی برای آسیب‌پذیری بحرانی SMBGhost در ویندوز ۱۰

به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی BleepingComputer، این آسیب‌پذیری بحرانی که بانام‌های مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته می‌شود، می‌تواند برای انتشار بدافزار از یک سیستم آسیب‌پذیر به سایر سیستم‌ها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیب‌پذیری SMBGhost نسخه‌های ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار می‌دهد. مایکروسافت در ماه مارس وصله آسیب‌پذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخه‌های جدیدتر و قدیمی‌تر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیب‌پذیری کافی است تا یک بسته دستکاری‌شده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیب‌پذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیب‌پذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آن‌ها به مواردی چون افزایش دسترسی محلی (LPE) و منع سرویس (صفحه آبی) محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت رخداد نگاری صفحه‌کلید (keylogging) و سرقت اطلاعات، از آسیب‌پذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار وصله مایکروسافت، یک پژوهشگر امنیتی نسخه‌ای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیب‌پذیریSMBGhost  را به‌طور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران به‌طور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیت‌آمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیش‌تر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیب‌پذیری SMBGhost دست‌یافته‌اند.
با توجه به این‌که کد اکسپلویت این آسیب‌پذیری به‌طور عمومی منتشرشده است، توصیه می‌شود تا با مسدودسازی پورت‌های SMB و اعمال وصله‌های منتشرشده از سوی مایکروسافت، نسبت به رفع آسیب‌پذیری اقدام شود.