هفتهی گذشته یک آسیبپذیری روز-صفرم در پروتکلِ قطعههای پیام کارگزار (SMB) نسخهی ۳ ویندوز افشاء شد. شناسهی این آسیبپذیری CVE-۲۰۱۷-۰۰۱۶ است و مایکروسافت آن را در دستهی آسیبپذیریهای حیاتی و جدی قرار نداده و یک آسیبپذیری با درجهی اهمیتِ بالا در نظر گرفته شده است.
این آسیبپذیری مربوط به نحوهی مدیریت ترافیک SMB در ویندوز است و میتواند توسط یک مهاجم غیرمجاز از راه دور مورد بهرهبرداری قرار گرفته و منجر به شرایط منعِ سرویس شود. این بهرهبرداری زمانی امکانپذیر است که نسخهی آسیبپذیر ویندوز به کارگزار مخرب SMB متصل شود.
پروتکل SMB یک پروتکل لایهی کاربرد در شبکه است که به کاربران بر روی شبکههای محلی امکان دسترسی به پروندهها، چاپگرها، درگاههای سریال و ارتباطات گوناگون بین گرههای شبکه را میدهد. این پروتکل همچنین امکان ارتباط بین پردازهای از طریق احراز هویت را فراهم میکند.
این آسیبپذیری زمانی افشاء شد که یک محقق امنیتی آن را کشف کرده و کد اثباتِ مفهومی و بهرهبرداری از آن را بهطور عمومی بر روی گیتهاب منتشر کرد. مرکز هماهنگی CERT در دانشگاه کارنگیملون این آسیبپذیری را بسیار حیاتی ارزیابی کرد و درجهی اهمیت ۱۰ از ۱۰ را به آن اختصاص داد چرا که این آسیبپذیری برای اجرای کد از راه دور قابل بهرهبرداری است.
در ادامه ولی CERT این مشاورهنامهی خود را مورد بازبینی قرار داد و اشاره به حملاتِ اجرای کد از راه دور را از این گزارش حذف کرد و امتیاز آن را از ۱۰ به ۷.۸ کاهش داد و با این حساب آسیبپذیری در دستهی آسیبپذیریها با درجهی اهمیت بالا قرار گرفت.
یک محقق امنیتی اشاره کرد برای اینکه دستگاهی دارای آسیبپذیری باشد باید از SMBv۳ پشتیبانی کند که این ویژگی در ویندوز ۸ و کارگزارهای ویندوز ۲۰۱۲ معرفی شده است. در ابتدا ذکر شده بود آسیبپذیری فقط بر روی بسترهای ویندوز ۱۰ و ویندوز ۸.۱ وجود دارد ولی در ادامه این مشاورهنامه تصحیح شد و اعلام شد کارگزارهای ویندوز نیز دارای این آسیبپذیری هستند.
همانطور که قبلاً هم در مشاورهنامه اشاره شده بود، راهحل عملی برای برطرف کردن این اشکال در حال حاضر وجود ندارد ولی در یک راهحل موجود میتوان تمامی ارتباطات SMB از داخل شبکهی محلی به سمت WAN را مسدود کرد. کاربران میتوانند درگاههای ۱۳۹ و ۴۴۵ متعلق به TCP و درگاههای ۱۳۷ و ۱۳۸ در UDP را مسدود کنند.
باتوجه به اینکه این آسیبپذیری حیاتی و جدی در نظر گرفته نشده، بسیار بعید بهنظر میرسد مایکروسافت آن را در یک بهروزرسانی خارج از موعد وصله کند اما انتظار میرود در بهروزرسانی ماهانهی مایکروسافت که هفتهی بعد منتشر میشود، این آسیبپذیری نیز وصله شود.
سخنگوی مایکروسافت در بیانیهای اعلام کرد: «سیاستهای بهروزرسانی ما به این شکل است که در مورد آسیبپذیریهای با خطرات کم، منتظر میمانیم تا در بهروزرسانیهای هر ماه خود در روزهای سهشنبه آن را وصله کنیم.»