១. ព័ត៌មានទូទៅ
បន្ទាប់ពីក្រុមហ៊ុនម៉ៃក្រូសូហ្វបានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពប្រចាំខែ “Microsoft Patch Tuesday” របស់ខ្លួនថ្មីៗនេះ
ក្រុមហ៊ុនក៏បានចេញផ្សាយការជូនដំណឹងបន្ទាន់ស្តីពីចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតមាននៅក្នុង Server Message Block 3.0 (SMBv3)។
ចំណុចខ្សោយត្រូបានកំណត់ជាលេខសម្គាល់ CVE-2020-0796 ហើយការវាយប្រហារជោគជ័យលើចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកប្រហារដំណើការកូដពីចម្ងាយ (remote code execute) នៅលើម៉ាស៊ីន SMB Server ឬ SMB Client។
២. ផលិតផលដែលរងផលប៉ះពាល់
- Windows Server Version 1903 (Server Core Installation)
- Windows Server Version 1909 (Server Core Installation)
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
៣. ផលវិបាក
ការវាយប្រហារជោគជ័យលើចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកប្រហារដំណើការកូដពីចម្ងាយ (remote code execute) នៅលើម៉ាស៊ីន SMB Server ឬ SMB Client។
៤. ការណែនាំ
ដោយសារបច្ចុប្បន្ននេះក្រុហ៊ុនម៉ៃក្រូសូហ្វមិនទាន់ចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដើម្បីជួសជុលចំណុចខ្សោយនេះនៅឡើយ ហេតុដូចនេះអ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងគួរធ្វើការបិទ SMBv3 compression និង ប្លុក (block) TCP port 445 នៅលើ firewalls និងម៉ាស៊ីនកុំព្យូទ័រ client (ម៉ាស៊ីនអ្នកប្រើប្រាស់) ដែលបានប្រើប្រាស់ផលិតផលរងផលប៉ះពាល់ខាងលើ។
វីធីសាស្រ្តបិទ SMB compression
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
បញ្ជាក់៖ ការការពារបណ្តោះអាសន្នខាងលើនេះអាចទប់ស្កាត់បានតែនៅលើ SMBv3 Server ប៉ុណ្ណោះ រីឯ SMBv3 Client និងនូវតែរងគ្រោះ រហូតមានការអាប់ដេតសុវត្ថិភាពពីម៉ៃក្រូសូហ្វ។
៥. សម្រាប់ព័ត៌មានបន្ថែម
- https://www.kb.cert.org/vuls/id/872016/
- https://www.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block
- https://thehackernews.com/2020/03/smbv3-wormable-vulnerability.html
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
