مایکروسافت بهطور اکید به راهبران شبکه توصیه کرد که برای در امان بودن از حملات سایبری و بدافزارهای خطرناک، SMBv1 را بر روی Exchange غیرفعال کنند.
منبع : مرکز مدیریت راهبردی افتا
مایکروسافت بهطور اکید به راهبران شبکه توصیه کرد که SMBv1 را بر روی Exchange غیرفعال کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت به راهبران شبکه توصیه کرد که بهمنظور حفاظت هرچه بیشتر از سرورهای Exchange در برابر تهدیدات بدافزاری و حملات سایبری، نسخه 1 پودمان SMB را بر روی این سرورها غیرفعال کنند.
این شرکت از سال ۲۰۱۶ میلادی همواره از راهبران شبکه خواسته که پشتیبانی از نسخه ۱ پودمان SMB را بهدلیل عدم وجود قابلیتهای امنیتی لازم که در نسخ بعدی این پودمان لحاظ شده در شبکه خود متوقف کنند.
این قابلیتها شامل رمزگذاری، بررسی یکپارچگی پیش از اصالتسنجی– جهت جلوگیری از حملات موسوم به مرد میانی (Man-in-the-Middle به اختصار MiTM) و مسدودسازی اصالتسنجی غیرامن میهمان (Guest Authentication) و مواردی دیگر است.
در مطلبی که بهتازگی در سایت Microsoft Tech Community ارسال شد، تیم Exchange تأکید فراوان کرد که راهبران با غیرفعال کردن SMBv1، سرورهای خود را از گزند بدافزارهایی همچون Emotet و TrickBot ایمن نگه دارند.
برای اطمینان از حفاظت بهتر از Exchange سازمان در برابر تهدیدات (برای مثال Emotet ،TrickBot یا WannaCry که فقط نمونههایی از خیل پرشمار این تهدیدات هستند) توصیه میکنیم در صورت فعال بودن SMBv1 نسبت به غیرفعالسازی آن بر روی سرور Exchange (نسخ ۲۰۱۳/۲۰۱۶/۲۰۱۹) اقدام شود.
نیازی نیست که پودمان حدوداً ۳۰ ساله SMBv1 در هنگامی که یکی از نسخ ۲۰۱۳/۲۰۱۶/۲۰۱۹ نرمافزار Exchange بر روی سرور نصب است اجرا شود. SMBv1 امن نیست و فاقد قابلیتهای کلیدی امنیتی لحاظشده در نسخ بعدی پودمان SMB است.
در سال ۲۰۱۷ چندین بهرهجوی (Exploit) افشا شد که در آنها با سوءاستفاده از SMBv۱ فرامین مورد نظر مهاجم با سطح دسترسی Administrator بر روی سرورهای آسیبپذیر اجرا میشود. برخی از بهرهجوهای افشاشده نظیر EternalBlue و EternalRomance خیلی زود در بدافزارهایی همچون TrickBot، Emotet، WannaCry، Retefe، NotPetya و Olympic Destroyer برای گسترش آلودگی یا اجرای عملیات مخرب از قبیل سرقت اطلاعات اصالتسنجی مورد استفاده قرار گرفت.
لذا به دلیل وجود آسیبپذیریهای امنیتی در این نسخه قدیمی پودمان SMB و ریسکهای ناشی از استفاده از آن، غیرفعال کردن آن برای ایمن ماندن در برابر بدافزارها و حملات هدفمند توصیه میشود. بهصورت پیشفرض SMBv۱ از نسخه ۱۷۰۹ سیستمهای عامل Windows ۱۰ و Windows Server نصب نمیشود؛ نسخ جدید Windows از SMBv۳ استفاده میکنند.
بهمنظور بررسی فعال یا غیرفعال بودن SMBv1 بر روی یک سرور با سیسم عامل Windows، بسته به نسخه سیستم عامل میتوان فرامین اشارهشده در ادامه را در خط فرمان PowerShell اجرا کرد.
Windows Server 2008 R2 – بهصورت پیشفرض SMBv1 در Windows Server 2008 R2 فعال است. عدم بازگردانده شدن مقدار یا نمایش عدد ۱ با اجرای فرمان زیر، بیانگر فعال بودن SMBv1 بر روی سیستم عامل است. نمایش 0 نیز بهمعنای غیرفعال بودن این نسخه از پودمان SMB است.
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath} Windows Server ۲۰۱۲ – باز گردانده شدن مقدار false درنتیجه اجرای فرمان زیر بهمعنای فعال نبودن SMBv1 است. Get-SmbServerConfiguration | Select EnableSMB۱Protocol Windows Server ۲۰۱۲ R۲ و نسخ بعد از آن – نمایش مقدار false پس از اجرای فرمان زیر نشاندهنده غیرفعال بودن SMBv۱ است. (Get-WindowsFeature FS-SMB۱).Installed Get-SmbServerConfiguration | Select EnableSMB۱Protocol اجرای فرامین زیر نیز موجب غیرفعال شدن SMBv۱ میشود.
در Windows Server ۲۰۰۸ R۲: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name SMB۱ -Type DWORD -Value ۰ –Force در Windows Server ۲۰۱۲: Set-SmbServerConfiguration -EnableSMB۱Protocol $false –force
در Windows Server ۲۰۱۲ R۲ و نسخ جدیدتر: Disable-WindowsOptionalFeature -Online -FeatureName smb۱protocol Set-SmbServerConfiguration -EnableSMB۱Protocol $false