ثغرة في SMB2 في بعض انظمة مايكروسوفت

ال Server Message Protocol أو SMB اختصاراً هو برتوكول لمشاركة الملفات في الحواسيب التي تعتمد ويندوز. الاصدارة الحالية منها ظهرت في Windows Server 2008 وWindows Vista و Windows 7. هذه الاصدارة تم تحديثها لتتوافق مع احتياجات الاصدارات الاحدث من خوادم ادارة الملفات وتتميز بسرعتها مقارنة بالاصدارة القديمة SMB 1. الانظمة الحديثة من Windows Vista تدعم الاصداراتان من أجل تحقيق ما يعرف ب التطابقية الراجعة او backward compatibility.

قام أحدهم باكتشاف ثغرة في الاصدارة SMB2 ولكن بدل أن يتصرف بمسؤولية في مثل هكذا حالات ويبلغ المزود (مايكروسوفت) بوجود الثغرة بما يعرف بالكشف المسؤول أو responsible disclosure قام بنشر معلومات الثغرة واثبات للمبدأ في مدونته. طبعاً وضع اللوم على مايكروسوفت لعدم اكتشافها الثغرة قبل اصدار النسخة الحديثة. كما قال أنه نبه الشركة ولكنه أخطأ في كتابة البريد الالكتروني. عذر سخيف من شخص سخيف يبحث عن الشهرة وفقط. أنا احترم جدّاً أي باحث في أمن المعلومات يقوم بالكشف المسؤول عن الثغرات ولكن هذا الشخص لا يستحق الاحترام. (وجهة نظري الشخصيّة).

Gaffié said he notified the company, but had a typo in the e-mail address.

الثغرة الحالية تصيب الأنظمة التالية:

Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

وأيضاً Windows 7 rc
أمّا الأنظمة التالية فهي غير معرّضة لها حسب مايكروسوفت:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

كيف يمكن التغلّب على الثغرة لحين صدور ترقيعة؟

تعطيل خدمة SMB2 على Windows Vista و Windows 2008 والتي تعمل كمستفيد (client) من الخدمة يتم بتنفيذ الأوامر التالية:

sc config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc config mrxsmb10 start= disabled

على الخادم (سواء كان Vista أو 2008) يمكن القيام بتعديل في السجّل. ابحث عن هذا المفتاح

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters

وقم بإضافة مفتاح REG_DWORD جديد وسمه smb2 و اجعل القيمة له صفر وتعني تعطيل. (إذا لم تتعامل مع المسجّل من قبل فلا أنصحك بذلك ولكن إن اصررت فخذ نسخة احتياطية منه قبل اجراء أي تعديل).

بعد الانتهاء اعد التشغيل.

أغلق المنفذان 139 و 445 (إن لم تقم بذلك من قبل كما هو منصوح به بشدة) على الانترنت بمعنى لا يجب ان يكون هناك أي وصول لهذه المنافذ من حواسيب خارج شبكتك.

هذه محاولة فاشلة لاستغلال الثغرة على Windows 7 rc المنفذان فيه مقفلان.

msf auxiliary(smb2_negotiate_pidhigh) > run

[-] Auxiliary failed: Rex::ConnectionTimeout The connection timed out (192.168.x.x:445).
[-] Call stack:
[-] /tools/metasploit/lib/rex/socket/comm/local.rb:198:in `create_by_type’
[-] /tools/metasploit/lib/rex/socket/comm/local.rb:26:in `create’
[-] /tools/metasploit/lib/rex/socket.rb:45:in `create_param’
[-] /tools/metasploit/lib/rex/socket/tcp.rb:34:in `create_param’
[-] /tools/metasploit/lib/rex/socket/tcp.rb:24:in `create’
[-] /tools/metasploit/lib/msf/core/exploit/tcp.rb:83:in `connect’
[-] (eval):48:in `run’
[*] Auxiliary module execution completed
msf auxiliary(smb2_negotiate_pidhigh) > use auxiliary/scanner/smb/smb2

لإغلاق المنافذ باستخدام سطر الأوامر
netsh advfirewall firewall add rule name="SMB2" protocol=TCP dir=in localport=139,445 action=block

مراجع

http://www.microsoft.com/technet/security/advisory/975497.mspx

http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-server-2008.htm

http://www.securityfocus.com/brief/1009