ثغرة خطيره فـSMBv3 Protocol من نوع "Remote Code Execution" بتؤدي لإختراق جهازك ...
اسم الثغره : SMBGhost
اللـCVE identivier Code ه: CVE-2020-0796
اللـSMB بروتوكول دا هو اللمسؤول عن نقل الملفات بين الأجهزه واللـauthentication بينهم علي الشبكه بـport TCP 445 .. والخطوره في اللـvulnerabilitiy دي إن اللـexploit بتاعها بينقل نفسه بين الأجهزه المصابه بسهوله .. ودا راجع إن اللـSMBv3 Protocol بيتعامل مع الطلبات بتاعت اللـcomperssion headers بطريقة unauthenticated بتسمح للـattacker إنه ينفذ Shell-Code علي اللـtarget واللـexploit بتعمل privileges escalation او بيصعد الصلاحية وبتشتغل كـSYSTEM ودي صلاحية امتيازية يعني تقدر تعمل اي حاجه فـsystem عمومًا،
طب اي هي اللـCompession headers بتاعت اللـSMB؟
= دي feature جديده تمت اضافتها للبروتوكول فـ مايو 2019 وهي بتكون مسؤولة عن اللـtraffic compression الخاص باللـSMB ..
فـ هنا كل اللـبيحتاجه اللـattacker إنه يبعت للـtarget اللـSMBv3 packet عادي جدًا لكن جواه اللـcompression header باللـexploit بتاع اللـvulnerabilitiy
اللـversions المصابه لويندوز:
- Windows 10 build 1903 and 1909
- Windows Server build 1903 and 1909
والثغره دي مش موجوده فـ اي windows version بسبب إن اللـfeature دي اضافت فـ2019 علي windows 10 فاللـSMBv3..
ولحد دلوقتي مفيش patch للـثغره دي غير إنك تـdisable اللـSMBv3 compression فهتروح تفتح اللـPowerShell كـAdministrator وتكتب الأمر دا فيه :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
--------------------
ودا PDF Link بيتكلم عن اللـSMBv3 features تبع ميكروسوفت بإستفاضه:
https://bit.ly/2vrGaYo
ودا Link بيتكلم عن اللـStatic,Dynamic Analysis للـناس بتوع اللـmalware analysis واللـtechnical side بالنسبة للـثغره واللـpatch بتاعها:
https://bit.ly/2IOZYaZ
ليست هناك تعليقات:
اضافة تعليق