«همسایه بد» عامل اجرای کد از راه دور
مایکروسافت اخیراً بهروزرسانی ماه اکتبر را منتشر کرده است. یکی از آسیبپذیریهای برطرف شده «همسایه بد» نام دارد که به پشته پروتکلی TCP/IP ویندوز مربوط میشود.
| مایکروسافت اخیراً بهروزرسانی ماه اکتبر را منتشر کرده است. یکی از آسیبپذیریهای برطرف شده «همسایه بد» نام دارد که به پشته پروتکلی TCP/IP ویندوز مربوط میشود. |
|
به گفته مایکروسافت آسیبپذیری CVE-2020-16898 که «همسایه بد» نیز خوانده میشود، از نوع اجرای کد از راه دور است که در پشته TCP/IP ویندوز قرار دارد. یکی از کارهایی که با بهرهبرداری از این آسیبپذیری میتوان انجام داد، ایجاد شرایط منع سرویس و صفحه آبی (Blue Screen of Death, BSoD) است. فرماندهی سایبری آمریکا نیز با انتشار هشداری در مورد این آسیبپذیری، به کاربران توصیه کرده است که بهروزرسانی امنیتی را اعمال کنند. مهاجمان احراز هویت نشده میتوانند از راه دور از این آسیبپذیری سوء استفاده کنند. این کار با ارسال یک بسته اعلان مسیریاب ICMPv6 (Router Advertisement) که به شکل خاصی طراحی شده، انجام میگیرد. همسایه بد هم کلاینت (ویندوز 10 نسخه 1709 تا 2004) و هم سرور (ویندوز سرور نسخههای 1903 تا 2004 و ویندوز سرور 2019) را تحت تأثیر قرار میدهد. مایکروسافت در بهروزرسانی ماه اکتبر مجموعاً 87 آسیبپذیری را برطرف کرد که 12 مورد آنها از درجه حساسیت «بحرانی» و 74 مورد از درجه «مهم» بودند و یک مورد نیز از درجه «متوسط» بود. |
|
کدهای اثبات مفهوم منع سرویس |
|
مایکروسافت یک کد اثبات مفهوم (POC) را با اعضای MAPP، از جمله مکافی به اشتراک گذاشته است. MAPP برنامهای است که مایکروسافت طی آن اطلاعات آسیبپذیریها را پیش از بهروزرسانی ماهانه در اختیار تولیدکنندگان نرمافزارهای امنیتی قرار میدهد تا بتوانند راهکارهای امنیتی را به مشتریان ارائه دهند. طبق مطلب منتشر شده در وبسایت مکافی این کد POC به شدت ساده و مؤثر است. این کد به صفحه آبی منجر میشود، و در اصل ابزاری است که نشان میدهد احتمال بهرهبرداری از آسیبپذیری توسط مهاجمانی که قادر به دور زدن راهکارهای امنیتی هستند، چه قدر است.
|
|
|
|
طبق اطلاعاتی که توسط مایکروسافت ارائه شده، شرکت امنیتی سوفوس نیز موفق به ایجاد یک POC شده که همه سیستمهای ویندوز/ویندوز سرور آسیبپذیر را دچار BSOD میکند. بعید نیست مهاجمان سایبری نیز به زودی کد منع سرویس خود را بنویسند. نوشتن کد اثبات مفهومی که از راه دور باعث وقوع صفحه آبی شود سخت نیست، اما نوشتن کدی که از راه دور روی سیستم آسیبپذیر کد اجرا کند به شدت دشوار است. به گفته تیم Offensive Security از آزمایشگاههای سوفوس، برای نوشتن چنین کدی مهاجم باید بتواند به شکل قابل اطمینانی مکانیزمهای قناری و ASLR (مکانیزمهایی برای جلوگیری از تخریب حافظه) را دور بزند. با این وجود خطر منع سرویس نیز آن قدر زیاد است که ادمینها را به اعمال وصله سوق دهد.
|
|
راه حل موقت |
|
مایکروسافت برای کسانی که نمیتوانند فوراً وصله را اعمال کنند راه حلی موقتی ارائه داده است که برای نسخههای 1709 به بالا قابل استفاده است. این راه حل عبارت است از غیرفعال کردن گزینه سرور DNS بازگشتی ICMPv6 (RDNSS) که با اجرای دستور پاورشل زیر انجام میگیرد (نیازی به ریبوت نیست):
|
|
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
|
|
پس از اعمال وصله میتوانید با استفاده از دستور زیر ICMPv6 RDNSS را مجدداً فعال کنید (باز هم نیازی به ریبوت نیست):
|
|
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
|
|
اما این یک راه حل موقت است که بردارهای حمله شناخته شده را مسدود میکند. رفع کامل آسیبپذیری تنها با اعمال بهروزرسانی امنیتی میسر میشود.
|
