حمله به پروتکل SMB افزایش یافت
مرکز ماهر بار دیگر نسبت به مشاهده گسترده آسیبپذیری در پروتکل SMB که امکان اشتراک گذاشتن دسترسی به فایل ها را ممکن می کند و افزایش حملات به سمت این سرویس، در سطح کشور هشدار داد.
موبنا – پروتکل SMB (Server Message Block Protocol ) یا بلاک پیام سرور، یک پروتکل ارتباطی سرویس گیرنده سرور است که برای به اشتراک گذاشتن دسترسی به فایل ها، چاپگرها، پورت های سریال و سایر منابع در شبکه استفاده می شود. همچنین می تواند پروتکل های مبادله ای را برای ارتباطات بین پردازش حمل کند.
پروتکل SMB به عنوان یک پروتکل درخواست پاسخ هم شناخته می شود. به این معنی که چندین پیام را بین سرویس گیرنده و سرور، برای ایجاد یک ارتباط، برقرار می کند.
از این رو چند روز گذشته، مرکز ماهر نسبت به مشاهده گسترده آسیبپذیری قدیمی در پروتکل SMB در سطح کشور که امکان اشتراک گذاری دسترسی به فایل ها را ممکن می کند، هشدار داد.
این مرکز اعلام کرد: در اواخر سال ۱۳۹۵ یک آسیبپذیری جدی با سطح خطر بحرانی با نام EternalBlue در پروتکل SMB افشاء شد که نسخههای مختلف سیستم عامل ویندوز را تحت تاثیر قرار میداد. از آن زمان تا به حال انواع کدهای سوءاستفاده و باجافزار و جاسوسافزار و غیره از این آسیبپذیری سوءاستفاده کرده اند.
بررسیهای مجدد مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) نشاندهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور است.
امروز نیز این مرکز اعلام کرد: پیرو اطلاعیه قبلی درخصوص وجود آسیبپذیری سرویس SMB (درگاه ۴۴۵) در سطح کشور، بررسیهای انجام شده نشان دهنده افزایش سطح حملات روی این درگاه است.
این درگاه به صورت پیشفرض در پروتکل SMB مورد استفاده قرار میگیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که میتواند گویای افزایش آلودگی در کشور باشد؛ از این رو لازم است تا پاکسازی سیستمهای آلوده داخلی مورد توجه قرار گیرد.
وضعیت حملات ثبت شده از ابتدای مهرماه، نشان می دهد که ۱۰۳ هزار و ۴۴۲ حمله به این سرویس در ایران صورت گرفته و سهم ایران از کل حملات ثبت شده بیش از ۱۴ درصد است.
بر اساس گزارش منتشر شده از کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کردهاند که با بهرهگیری از این آسیبپذیری، اجازه کنترل راهدور را برای مهاجم فراهم میکند.
علاوه بر آن دو چارچوب پیچیده دیگر با نامهای DanderSpritz و FuzzBunch نیز توسط این گروه در سال ۲۰۱۷ ارائه شده که دارای قابلیت تحلیل میزبان قربانی، آسیبپذیریهای قابل اکسپلویت و سایر مولفههای مانیتور میزبان قربانی هستند.
منبع: مهر