Bitdefender บล็อกเหตุการณ์ CVE-2020-0796 'EternalDarkness Bug' ที่ในระดับเครือข่าย

Bitdefender บล็อกเหตุการณ์ CVE-2020-0796 'EternalDarkness Bug' ที่ในระดับเครือข่าย

เมื่อวันที่ 12 มีนาคม 2020 ไมโครซอฟท์ได้เปิดตัวแพตช์สำคัญที่แก้ไขข้อบกพร่องร้ายแรงในไดรเวอร์เคอร์เนล SMB ซึ่งถูกเปิดเผยโดยไม่ได้ตั้งใจ ในเดือนมีนาคม 2020 ซึ่งเป็นแพตช์ที่ถูกส่งมาทุก ๆ วันอังคาร โดยข้อบกพร่องนี้ได้ส่งผลกระทบต่อลูกค้า SMB และเซิร์ฟเวอร์รุ่น 3.1.1 สำหรับ Windows และยังสามารถใช้ประโยชน์จากการควบคุมระยะไกล เพื่อเรียกใช้การโจมตีแบบปฏิเสธการให้บริการ (DDoS) และในหลาย ๆ กรณี

เนื่องจากการโจมตีช่องโหว่นั้น ไม่ต้องการการรับรองความถูกต้อง การโจมตีนี้จึงอาจเป็นอาวุธในรูปแบบ "Worm" ซึ่งอาจทำให้แสดงตัวว่าเป็นภัยคุกคามที่สามารถเรียกใช้รหัสผ่านได้จากการควบคุมระยะไกล เพียงแค่เชื่อมต่อกับเครื่อง Windows ผ่านเครือข่าย SMB (พอร์ต 445)

ปูมพื้นหลัง

เมื่อปีที่แล้ว Microsoft ได้เพิ่มคุณสมบัติสำหรับการบีบอัดข้อมูล ที่สามารถทำการแลกเปลี่ยนระหว่างโฮสต์ที่ใช้ไคลเอ็นต์ SMB และเซิร์ฟเวอร์สำหรับระบบปฏิบัติการ Windows โดยคุณลักษณะนี้มีเฉพาะเริ่มต้นด้วย Windows 10 รุ่น 1903 เป็นต้นไป อย่างไรก็ตาม เนื่องจากข้อบกพร่องในรหัสสำหรับการแยกวิเคราะห์ส่วนหัวของข้อความที่ถูกบีบอัด ที่ควรตรวจสอบโอเวอร์โฟลว์ หรืออันเดอร์โฟลว์ ผู้ทำการโจมตีที่ไม่ได้ตรวจสอบสิทธิ์ที่สามารถส่งแพ็คเก็ต ในหน่วยความจำในระบบที่มีช่องโหว่ดังกล่าว

ยิ่งไปกว่านั้นข้อมูลที่ไม่น่าเชื่อถือจากเครือข่ายต่าง ๆ จะถูกคัดลอกโดยตรงในโครงสร้างของ smb2_compression_transform_header จากนั้นก็จะเพิ่มเข้าด้วยกัน (header.OriginalCompressedSegmentSize + header.OffsetOrLength) เพื่อกำหนดขนาดการจัดสรร สำหรับบัฟเฟอร์ที่เก็บข้อมูล ที่สามารถคลายการบีบอัดข้อมูล ซึ่งการขาดการตรวจสอบนี้ สามารถนำไปสู่การทำ Integer Buffer Overflow ที่เป็นไปได้ ซึ่งส่งผลให้เกิดการจัดสรรบัฟเฟอร์ที่เล็กลง เพื่อใช้ในการคลายการบีบอัดของข้อมูล ส่วนที่เหลือของข้อมูลที่ได้คลายการบีบอัดจะ Overflow ในหน่วยความจำ

Integer overflow ก็สามารถเป็นไปได้เมื่อ header.OffsetOrLength มีขนาดใหญ่กว่าขนาดของแพ็คเก็ตที่ถูกส่งผ่านเครือข่าย ซึ่งอาจจะส่งผลให้อ่านข้อมูลนอกขอบเขต โดยการรวมข้อบกพร่องทั้งสองนี้ ผู้ทำการโจมตีนั้น สามารถรับการเรียกใช้การเข้ารหัสระยะไกล และโดยนัยเป็นเจ้าของเครื่องเป้าหมายนั่นเอง

บทเรียนที่ได้เรียนรู้จากปี 2017 และการบรรเทาผลกระทบ

หาก SMB และ “wormable attacks” เกิดขึ้น คุณจะไม่สามารถนึกภาพออกได้ - เราเคยผ่านเรื่องนี้มาก่อนในปี 2017 เมื่อมีการใช้ประโยชน์จากช่องโหว่ของ EternalBlue ที่ซึ่งถูกกล่าวหาว่าพัฒนาโดย National Security Agency (NSA) ถูกนำมาใช้เพื่อโจมตีฝ่ายตรงข้าม ชื่อว่า WannaCry ransomware

ในขณะที่เวลานี้ ยังไม่มีหลักฐานว่ามีการใช้ช่องโหว่นี้อย่างจริงจัง ช่องโหว่นี้ได้รับการจัดอันดับอย่างมีนัยสำคัญ โดยมีคะแนนฐาน CVSS เท่ากับ 10 ผู้ดูแลระบบไอทีควรดำเนินการทันที เพื่อลดความเสี่ยงดังกล่าว ดังนี้

1. ติดตั้งอัปเดต: จาก Microsoft ที่มีรหัสว่า KB4551762 ซึ่งปล่อยออกมาวันที่ 12 มีนาคม ที่สามารถแก้ไขช่องโหว่ สำหรับลูกค้า Bitdefender ท่านสามารถทำการปรับใช้การอัปเดตอัตโนมัติได้ ผ่านโมดูล Patch Management
2. หากไม่สามารถทำการแพตช์ได้, ให้ทำการ disable SMBv3 การ Compression บนเซิร์ฟเวอร์. สิ่งนี้อาจจะไม่ได้แก้ไขปัญหาของลูกค้าที่มีช่องโหว่ แต่คุณสามารถปิดใช้งานการ Compressed ด้วยคำสั่ง PowerShell ด้านล่าง:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

3. บล็อกพอร์ต TCP 445 ภายนอกที่ไฟร์วอลล์ขององค์กร แบบ In-bound โดยปกติแล้วบริการ SMB ไม่ควรเปิดเผยนอกเครือข่าย Local

Bitdefender จะปกป้องคุณได้อย่างไร?

ลูกค้า GravityZone ของ Bitdefender ทุกคนได้รับการปกป้องจากการแสวงประโยชน์จากช่องโหว่ของ CVE-2020-0796 ผ่าน Network Attack Defense ซึ่งเป็นเทคโนโลยีที่มีประสิทธิภาพที่ Bitdefender ได้รวมอยู่ในสายธุรกิจทั้งหมด เทคโนโลยีนี้ได้มุ่งเน้นไปที่การตรวจสอบเทคนิคการโจมตีเครือข่าย ที่ถูกออกแบบมาเพื่อเข้าถึงเครื่องปลายทางเฉพาะ เช่น การโจมตีแบบ brute-force การโจมตีเครือข่าย การขโมยรหัสผ่าน และได้พิสูจน์แล้วว่ามีประสิทธิภาพจากการป้องกันการโจมตีจำนวนมากจากช่องโหว่ Bluekeep ในปีที่ผ่านมา

อยู่อย่างปลอดภัยจากการถูกโจมตีด้วย SMB และภัยคุกคามทางไซเบอร์ที่เกิดขึ้นใหม่ ด้วยโซลูชั่นการหลีกเลี่ยงการบุกรุกแบบ end-to-end โดยผสมผสานการ Hardening การป้องกันการตรวจจับ และการตอบสนองภายใต้เอเจนต์เดียว แพลตฟอร์มเดียว ขอดูตัวอย่าง Bitdefender GravityZone ™วันนี้

 

BitdefenderTotal Security 2020

Regular Price: ฿999.00

ประหยัด:฿399.60

Special Price: ฿599.40

Post Releases