מיקרוסופט חושפת נוזקת תולעת חדשה

נוזקה חדשה מנצלת את פרוטוקול הSMB ומאיימת להתפשט ברשתות ארגוניות. בינתיים אין עדכון אבטחה מתאים

bigstockphoto

הודעת מיקרוסופט חושפת כי החברה מודעת לפגיעות של ביצוע קוד מרחוק באופן בו פרוטוקול Microsoft Server Message Block 3.1.1 או SMBv3 מטפל בבקשות מסוימות. "תוקף שניצל בהצלחה את הפגיעות יכול להשיג את היכולת לבצע קוד בשרת או קליינט SMB", כותבת החברה. בשלב זה אין תיקוני קוד שמציעה החברה למגר את האירוע.

כדי לנצל את הפגיעות כנגד שרת SMB, תוקף לא מאומת יכול לשלוח חבילה בעלת מבנה מיוחד לשרת SMBv3. כדי לנצל את הפגיעות מול לקוח SMB, תוקף לא מאומת יצטרך להגדיר שרת SMBv3 זדוני ולשכנע משתמש להתחבר אליו. הכשל רלוונטי למערכות חלונות-10 וכן לשרתי החברה. 

למרות שאין הגנה בינתיים, החברה ממליצה לבטל את דחיסת SMBv3. "ניתן לבטל דחיסה כדי לחסום את התוקפים הבלתי מאומתים מניצול הפגיעות", כותבים בחברה. הפעולה רלוונטית לשרתים, לא לעמדות. חוקר ישראלי בשם עומר זוהר ממליץ בנוסף לחסום את כל תנועת ה- SMB הנכנסת באמצעות חומת האש של Windows Defender כדי למנוע חיבורים מרוחקים מהתקנים זדוניים או מזוהמים.

למרות הדרכים המוצעות להתגונן, מנהלי אבטחת מידע בארגונים גדולים צפויים לחוות קשיים ביישום. מניפולציה על פרוטוקול הSMB או מניעה שלו יכולים לגרום לשיבושי עבודה ברשתות. מאידך, אם החולשה תנוצל, הרשת תשאר חשופה.