- 10 Jun 20
-
1546
-
สรุปข้อมูลช่องโหว่ SMBGhost, SMBleed, และ SMBLost พร้อมแนวทางการป้องกัน
SMB หรือ Server Message Block เป็นโพรโทคอลที่ Windows ใช้แชร์ไฟล์ อุปกรณ์ หรือการสื่อสารอื่น ๆ ในเครือข่าย โดยในช่วงที่ผ่านมาได้มีรายงานช่องโหว่และการโจมตีผ่านช่องโหว่ในโพรโทคอล SMB อยู่เป็นระยะ ๆ เมื่อต้นเดือนมิถุนายน 2563 ได้มีการเผยแพร่ข้อมูลและแพตช์แก้ไขช่องโหว่ที่เกี่ยวข้องกับบริการ SMB จำนวน 3 จุด คือ SMBGhost (CVE-2020-0796), SMBleed (CVE-2020-1206), และ SMBLost (CVE-2020-1301) โดยแต่ละช่องโหว่สามารถสรุปรายละเอียดและแนวทางการป้องกันได้ดังนี้
SMBGhost เป็นช่องโหว่ประเภท remote code execution สามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อได้จากระยะไกล ตัวช่องโหว่มีผลกระทบกับ SMBv3 บน Windows 10 และ Windows Server (Core installation) เวอร์ชัน 1903 และ 1909 ทาง Microsoft ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วตั้งแต่เดือนมีนาคม 2563 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-03-12-02.html) เครื่องมือที่สามารถใช้โจมตีและสั่งรันโค้ดบนเครื่องปลายทางได้ถูกเผยแพร่สู่สาธารณะเมื่อวันที่ 2 มิถุนายน 2563
SMBleed เป็นช่องโหว่ที่สามารถใช้โจมตีเพื่ออ่านข้อมูลในหน่วยความจำได้จากระยะไกล เงื่อนไขการโจมตีจำเป็นต้องอาศัย credential และการแชร์โฟลเดอร์แบบเปิดสิทธิ์ให้เขียนได้ ตัวช่องโหว่มีผลกระทบกับ SMBv3 บน Windows 10 เวอร์ชัน 1903, 1909, และ 2004 ทั้งนี้ตัวช่องโหว่ดังกล่าวสามารถใช้โจมตีร่วมกับช่องโหว่ SMBGhost เพื่อให้มีโอกาสสำเร็จมากขึ้นได้ ตัวอย่างเครื่องมือโจมตีช่องโหว่ (ทั้ง SMBleed และ SMBleed+SMBGhost) ถูกเผยแพร่สู่สาธารณะเมื่อวันที่ 9 มิถุนายน 2563 โดยทาง Microsoft ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วในแพตช์ประจำเดือนมิถุนายน 2563
SMBLost เป็นช่องโหว่ประเภท denial of service มีผลทำให้เครื่องปลายทางขึ้นจอฟ้า เงื่อนไขการโจมตีจำเป็นต้องอาศัย credential และการเปิดแชร์ทั้งพาร์ทิชัน (เช่น C:\\, D:\\) ตัวช่องโหว่มีผลกระทบกับ SMBv1 บน Windows 7, 8, 8.1, Server 2008, 2012, 2016, และ 2019 ตัวอย่างเครื่องมือโจมตีช่องโหว่ถูกเผยแพร่สู่สาธารณะเมื่อวันที่ 9 มิถุนายน 2563 โดยทาง Microsoft ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วในแพตช์ประจำเดือนมิถุนายน 2563 ทั้งนี้ผู้ดูแลระบบอาจพิจารณาปิด SMBv1 หากไม่มีความจำเป็นต้องใช้งานเพื่อลดความเสี่ยง
ที่มา: Bleeping Computer, ZecOps, Airbus