على الرغم من أن “مايكروسوفت” أصدرت في مارس تصحيحًا لثغرة SMBGhost الحرجة في بروتوكول كتلة رسالة الخادم (SMB)، إلا أنه هناك أكثر من 100,000 جهاز لا تزال عرضة للهجمات التي تستغل هذا الخلل. قد تسمح ثغرة تنفيذ التعليمات البرمجية عن بُعد القابلة للإصابة (RCE) لأصحاب القبعات السوداء بنشر البرامج الضارة عبر الأجهزة دون الحاجة إلى تفاعل المستخدم.
أن خطورة الخلل الذي يؤثر على “ويندوز10” و “ويندوز سيرفير” (الإصداران 1903 و 1909) يجب أن تدفع الجميع لتصحيح أجهزتهم على الفور. ومع ذلك، ووفقًا لـ “جان كوبريفا”، الذي كشف النتائج التي توصل إليها في منتديات SANS ISC Infosec Forums، بأن ذلك لا يبدو أنه الحال.
صرح “كوبريفا”، وقال: “لست متأكدًا من الطريقة التي يستخدمها محرك البحث للمنافذ المفتوحة ” شودن” لتحديد ما إذا كان جهاز معين عرضة لهجمات SMBGhost، ولكن إذا كانت آلية الكشف الخاصة به دقيقة، فهناك أكثر من 103,000 جهاز متأثر يمكن الوصول إليه من الإنترنت. وهذا يعني أن الجهاز الضعيف يختبئ خلفه ما يقرب من 8٪ من جميع عناوين IP التي تحتوي على 445 منفذ مفتوح”.
تم تصنيف ثغرة SMBGhost، التي تم تتبعها بكود CVE-2020-0796، على أنها حرجة وتحمل الدرجة “المثالية” البالغة 10 على مقياس نظام نقاط الضعف المشترك (CVSS). عند الاكتشاف، تم اعتبار الخلل شديدًا لدرجة أنه بدلاً من إصدار إصلاحه كجزء من حزمة علاج الثغرة المعتادة، أصدرت “مايكروسوفت” تصحيحًا خارج النطاق.
وصرحت شركة “مايكروسوفت” عند إصدار التصحيح: “لاستغلال الثغرة الأمنية على الخادم، يمكن للمهاجم الغير مصادق إرسال حزمة معدة خصيصًا إلى خادم SMBv3 المستهدف. لاستغلال الثغرة الأمنية ضد العميل، سيحتاج المهاجم الغير مصادق إلى تكوين خادم SMBv3 ضار وإقناع المستخدم بالاتصال به”.
كان ذلك في شهر مارس الماضي، وسرعان ما ظهرت برامج استغلال الثغرات المتاحة للجمهور، على الرغم من أنها حققت تصعيدًا للامتيازات المحلية “فقط”. وبعد ثلاثة أشهر، تم إصدار أول إثبات المفهوم (PoC) لتنفيذ التعليمات البرمجية التعسفية (RCE)، وحظي على الفور باهتمام واسع النطاق. حتى وكالة الأمن السيبراني وأمن البنية التحتية في الولايات المتحدة (CISA) أحاطت علما ونشرت تحذيرًا استشاريًا بأن الجهات الفاعلة في التهديد الخبيث كانت تستخدم PoC لاستغلال الثغرة الأمنية واستهداف الأنظمة غير المصححة.
تجدر الإشارة أيضًا إلى أنه يمكن استخدام SMBGhost جنبًا إلى جنب مع ثغرة أمنية أخرى تؤثر على بروتوكول SMBv3 – SMBleed. وفقًا لباحثي ZecOps الذين اكتشفوا العيب الأخير، يمكن لمجرمي الإنترنت الذي يمكنهم الجمع بين نقطتي الضعف أن يحقق تنفيذ التعليمات البرمجية عن بُعد قبل المصادقة.
مع المخاطر الموضحة، يُنصح المشرفون والمستخدمون الذين لم يقوموا بإصلاح أنظمتهم بعد بإجراء ذلك عاجلاً وليس آجلاً.