تم التحديث في 12 مارس
ظهرت أخبار عن ثغرة تنفيذ الأوامر عن بُعد CVE-2020-0796 في Windows 10 وأنظمة تشغيل خادم Windows، وستؤثر على بروتوكول كتلة رسالة خادم Microsoft 3.1.1 (SMBv3). وفقًا لشركة Microsoft، يمكن لأحد المهاجمين استغلال هذه الثغرة لتنفيذ أمر تعسفي على جانب خادم كتلة رسالة الخادم أو عميل كتلة رسالة الخادم. ولمهاجمة الخادم، يمكن أن يرسل الشخص ببساطة حزمة مبتكرة خصيصًا لهذا الغرض. وبالنسبة للعميل، يجب على المهاجمين تهيئة خادم SMBv3 الضار وإقناع المستخدم للاتصال به.
يعتقد خبراء الأمن الإلكتروني أن بإمكانهم استخدام الثغرة لإطلاق فيروس متنقل مشابه لهجوم واناكراي الإلكتروني. تصف شركة Microsoft هذه الثغرة بأنها حرجة، لذلك عليك غلقها بأسرع وقت ممكن.
من في خطر؟
كتلة رسالة الخادم عبارة عن بروتوكول شبكي للوصول عن بُعد إلى الملفات، والطابعات، وموارد الشبكات الأخرى. وهي تُستخدم لتنفيذ شبكة Microsoft Windows والملفات ومزايا مشاركة الطابعات. إذا كانت شركتك تستخدم هذه المزايا، فلديك سبب للقلق.
كتلة رسالة خادم Microsoft 3.1.1 عبارة عن بروتوكول حديث نسبيًا، ولا يُستخدم سوى في أنظمة التشغيل الجديدة:
- نظام Windows 10 الإصدار 1903 لأنظمة 32 بت
- نظام Windows 10 الإصدار 1903 لأنظمة ARM64
- نظام Windows 10 الإصدار 1903 لأنظمة x64
- نظام Windows 10 الإصدار 1909 لأنظمة 32 بت
- نظام Windows 10 الإصدار 1909 لأنظمة ARM64
- نظام Windows 10 الإصدار 1909 لأنظمة x64
- خادم نظام Windows، إصدار 1903 (تثبيت الخيار الأساسي للخادم)
- خادم نظام Windows، إصدار 1909 (تثبيت الخيار الأساسي للخادم)
لا تؤثر الثغرة على أنظمة Windows 7 أو 8، أو 8.1، أو الإصدارات الأقدم. ومع ذلك، فإن معظم الحواسيب الحديثة ذات التثبيت التلقائي للتحديثات تعمل بنظام Windows 10، لذلك من المرجح أن تكون كافة الحواسيب قابلة للثغرات، سواء المنزلية أو التابعة للشركة.
هل يستغل المهاجمون ثغرة CVE-2020-0796؟
وفقًا لشركة Microsoft، لا تُستخدم ثغرة CVE-2020-0796 للهجوم حتى الآن — على الأقل، لم يشهد أحد من قبل على مثل هذه الهجمات. لكن المشكلة تكمن في عدم وجود حزمة حتى الآن للثغرة CVE-2020-0796. وفي الوقت نفسه، كانت معلومات الثغرة منتشرة منذ 10 مارس، لذلك يمكن للمستغلين الظهور في أي وقت، ذلك إن لم يكونوا قد ظهروا بالفعل.
ما الذي يجب فعله؟
تحديث من 12 مارس: قامت Microsoft بإطلاق تحديث أمان يُعالج هذه الثغرة. يمكنك تنزيلها هنا.
وفي ظل غياب الحزمة، عليك بإغلاق الثغرة، وهذا يتطلب حلول وقتية. تعرض شركة Microsoft الآتي لمنع استغلال هذه الثغرة.
بالنسبة لخوادم كتلة رسالة الخادم:
- يمكنك حظر استغلال الثغرات من خلال استخدام أمر PowerShell:
Set-ItemProperty -المسار “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
بالنسبة لعملاء كتلة رسالة الخادم:
- كما هو الحال مع واناكراي الإلكتروني، توصي شركة Microsoft بحظر TCP port 445 بجدار حماية محيط المؤسسة.
وكذلك تأكد من استخدام حل أمان موثوق مثل Kaspersky Endpoint Security للأعمال التجارية . فهو، من بين التقنيات الأخرى، يستخدم نظامًا فرعيًا لمنع الاستغلال لحماية نقاط النهاية — حتى من ثغرات غير معروفة.