Telecom News - הוצגה תקיפה בשם SMBloris נגד מערכת ההפעלה Windows בכל הגרסאות

הוצגה תקיפה בשם SMBloris נגד מערכת ההפעלה Windows בכל הגרסאות

דף הבית >> חדשות אבטחה ועולם הסייבר >> הוצגה תקיפה בשם SMBloris נגד מערכת ההפעלה Windows בכל הגרסאות
הוצגה תקיפה בשם SMBloris נגד מערכת ההפעלה Windows בכל הגרסאות
מאת: מערכת Telecom News, 2.8.17, 22:07DDOS

פגיעות ביישום פרוטוקול SMB מאפשרת מתקפת מניעת שירות. מיקרוסופט לא מתכוונת לתקן את הפגיעות ביישום הפרוטוקול. אופן התקיפה והמלצות לפעולה.

לאחרונה הוצגה תקיפה המכונה SMBloris נגד מערכת ההפעלה Windows בכל הגרסאות החל מ-Window 2000 ועד Windows 10.
הפגיעות ביישום פרוטוקול SMB בכל גרסאותיו, מאפשרת ביצוע תקיפת מניעת שירות קלה ליישום, גם באמצעות מחשב בודד.

החוקרים, שדיווחו על הפגיעות בכנס,DEFCON  ציינו, שמיקרוסופט עדכנה אותם, שהיא לא מתכוונת לתקן את הפגיעות ביישום הפרוטוקול.

להלן תיאור טכני של החלק הרלוונטי בפרוטוקול:
כאשר משתמש פונה לשירותSMB , נשלח שדה בן 12 ביטים עבור בקשה להקצאת זיכרון ל- Bufferבשרת.

כמות הזיכרון המקסימלית, שניתן לבקש מהשרת להקצות בפניה בודדת, היא 2^17 בתים =.128KB

שירות SMB יבקש הקצאת זיכרון זו אך ורק בזיכרון הפיזי של השרת ולא ניתן להעביר זיכרון זה ל Swap Space-(זיכרון משני) על הדיסק.

זיכרון זה מוקצה מידית ע"י מערכת ההפעלה, עוד בטרם ביצוע הזדהות ע"י המשתמש. ללא המשך פעילות מול השרת, הזיכרון יוקצה למשך 21 שניות.

אופן התקיפה:
תוקף יכול באמצעות מחשב בודד ושימוש בפרוטוקול SMB מעל IPv4 לגרום לשרת להקצות לבקשותיו עד 8GB של זיכרון פיזי. שימוש מקביל של התוקף בפרוטוקול SMB מעל IPv6 יכול להכפיל את גודל הזיכרון, שיוקצה בשרת עד ל-16GB. למניעת שירות לשרתים בעלי זיכרון רב יותר יידרשו מספר מחשבים תוקפים.

תרשים

ביצוע התקיפה לאורך זמן יגרום לשרת להפסיק להגיב לפניות בשל הצורך של מערכת ההפעלה למצוא זיכרון פנוי, שאינו בנמצא. מצב זה יחייב כיבוי והפעלה מחדש של השרת.

המלצות:
מומלץ לחסום גישה לפורטים 445 ו-139 (TCP) מכתובות מחוץ לארגון בכלל ומרשת האינטרנט בפרט. במידה שנדרש קישור בפורטים אלv מחוץ לארגון, מומלץ לעשות שימוש ב- VPNוהזדהות חזקה.

מומלץ לשקול להגביל תעבורה בין תחנות עבודה ברשת. כך, שתחנות העבודה תווכלנה לתקשר עם השרתים השונים ברשת, אך לא בינן לבין עצמן למניעת תקיפת מניעת שירות נגד תחנות העבודה.

כדי למנוע ממחשב פנימי ברשת ליישם תקיפה כזו כנגד שרת, נדרשת יכולת לנטר או להגביל את מספר ה- Connections שכתובת  IP יחידה יכולה לפתוח מול שירות ה SMB-למספר סביר בו-זמנית.

מומלץ לבדוק האם ציוד התקשורת המצוי ברשותכם כגון מתגים, נתבים, FW, Load Balancers  וכד' יכולים לספק יכולת זו ולבחון מימושה.
 
NORDVPN



 
 
Bookmark and Share