هم رسان: یک تهدید ترکیبی بلوک پیام سرور ایمیل (SMB) شناسایی شده که از ماشین های دستکاری شده به عنوان جای پایی برای انتشار از طریق اکسپلویت EternalBlue استفاده می کند.

به گزارش پایگاه خبری هم رسان و به نقل از اینفوسکیوریتی، آزمایشگاه تحقیقاتی Netskope Threat می گوید استفاده از اکسپلویت EternalBlue بسیار خطرناک است زیرا این اکسپلویت در ماشین های جدیداً آلوده شده راه اندازی می شود که اجازه دسترسی مستقیم به ماشین های SMB مشترک مانند اشتراک های فایلی و سیستم های بک آپ را می دهد. این مسئله باعث می شود منابع اصلی داده به روشی غیرقابل پیش بینی مورد تهدید قرار دهد. همچنین SMB، به عنوان پروتکل به اشتراک گذاری فایل که دسترسی مشترک به فایل ها را در یک شبکه فراهم می کند، برنامه ای است که به طور گسترده ای مورد پذیرش است و این به این معنا است که آسیب پذیری تأثیر قابل توجهی خواهد داشت.
«آشوین وامشی» محقق Netskope می گوید: «ما متوجه شده ایم که حضور فایل های سند در یک ذخیره سازی ابر و سرویس های همکاری تهدید بزرگی برای محیط های سازمانی به حساب می آیند زیرا این محیط ها از یک منبع مطمئن ایجاد شده اند. زمانی که یک سیستم با payload مرحله دوم مانند EternalBlue آلوده می شود، این سیستم آلودگی های کرمی شکل ایجاد می کند که این مسئله باعث می شود تمامی رایانه های اطراف از طریق SMB سیستم داخلی جدیداً آلوده شده مورد تهدید قرار بگیرند.»

اوایل سال جاری میلادی، گروه Shadow Brokers مجموعه ای از اکسپلویت ها، دریچه های پشتی و چندین ابزار حمله مرتبط با اقدامات دولت_ملت را افشاء کرد. یکی از این اکسپلویت ها با نام EternalBlue پورت های SMB باز را مورد هدف قرار می دهد تا از امتیاز اجرای کد از راه دور استفاده کند، این اکسپلویت به طور گسترده در حملاتی نظیر WannaCry، NotPetya و حمله جدیدتر Bad Rabbit مورد استفاده قرار گرفته است.
در این مورد خاص، اولین حمله با یک ایمیل در منطقه سوئیس شروع شد که شامل یک سند Word دارای یک فایل lnk. جاسازی شده بود که در واقع یک دریچه پشتی برای دانلود کردن EternalBlue بود. این تهدید از یک حمله cross-perimeter به یک حمله داخلی تبدیل می شود، چرا که EternalBlue خودش را در سرتاسر شبکه سازمان بدون مداخله هیچ کاربری منتشر می کند که موجب یک حمله داخلی می شود که به احتمال زیاد سازمان ها هیچ گونه آمادگی برای آن نخواهند داشت.
وامشی با افزودن این نکته که سازمان ها باید سیاست استفاده از خدمات بدون مجوز و همچنین نمونه های بدون مجوز سرویس های ابری را اجرا کنند، گفت: «استفاده از سرویس های ابری در سازمان ها همراه با اطمینان و اعتماد بدون قید و شرط موجب افزایش حملات بدافزاری و در نتیجه تحمیل یک چالش جدید برای سازمان ها خواهد شد.»