ในงาน  DefCon 25 2017 ที่ผ่านมา ได้มีการเปิดเผยช่องโหว่ที่พบใน Service SMB ของ Windows ซึ่งจากการแจ้งของผู้ค้นพบทาง Microsoft กล่าวว่าจะยังไม่มีการออก patch ให้แต่อย่างใด

ช่องโหว่ดังกล่าวถูกพบโดย Sean Dillon จาก RiskSense โดยให้ชื่อช่องโหว่ดังกล่าวว่า SMBloris ซึ่งตั้งชื่อให้คล้ายกับการโจมตีของ script Slowloris ซึ่งเป็นการโจมตีแบบ Slow Attack โดยการโจมตีดังกล่าวจะส่งผลให้เครื่อง Windows Server ปลายทางเกิดอาการเครื่องแฮงค์นั่นเอง

ช่องโหว่ดังกล่าวกระทบกับ SMB ทุกๆ version ย้อนกลับไปถึง version ปี 2000 เลยทีเดียว โดยการโจมตีจะใช้เครื่องๆเดียวในการโจมตี การโจมตีจะเป็นการเปิด connection ไปยังเครื่องปลายทางเยอะๆ โดย SMB Connection แต่ละครั้งจะมีการ allowcate memory ไว้ ซึ่งเมื่อมีจำนวนมากส่งผลให้ปลายทางนั้นมี list ของ allowcate Memory เยอะมาก เมื่อ Windows ไล่หาว่าจุดไหนยังไม่มีการ allowcate ไปบ้างก็จะทำให้เกิดอาการเครื่องแฮงค์ไปในที่สุด โดยเค้าพบช่องโหว่นี้ขณะที่กำลังวิเคราะห์การทำงานของเครื่องมือชื่อดังอย่าง EternalBlue นั่นเอง เค้าบอกว่าการโจมตีดังกล่าวสามารถทำให้เครื่องที่มี RAM ถึง  128GB down ได้ โดยใช้เพียง Raspberry Pi เท่านั้น

ปัญหานี้ได้ถูกส่งไปยัง  Microsoft อย่างลับๆมาตั้งแต่เดือนมิถุนายน แต่ทาง Microsoft กล่าวว่าช่องโหว่ดังกล่าวเป็นเพียงช่องโหว่ระดับปานกลางและไม่ส่งผลถึงขนาดข้อมูลรั่วไหลแต่อย่างใด และน่าจะยังไม่มีการออก patch ในส่วนของ security update ออกมา ซึ่งทำให้เมื่อผ่านไป 60 วันทาง Dillon และเพื่อนที่ช่วยกันวิเคราะห์ช่องโหว่ดังกล่าว Zach Harding จึงได้นำมาเปิดเผยในงาน DefCon ซะเลย

ทาง Microsoft กล่าวว่าหากบริษัทไหนที่กังวลช่องโหว่ดังกล่าวให้ไปกระทำการปิดช่องโหว่ที่ SMBv1 แทน

Dillon กล่าวว่าการแก้ไขนั้นทำได้ง่ายมาก โดยการ limit connection smb ของแต่ละ IP ที่ firewall

Source:: ThreatPost