US-CERT แนะ Admin ใช้ Firewall ปิด Windows SMB

US Computer Emergency Readiness Team หรือ US-CERT ออกมาแนะนำให้ผู้ดูแลระบบขององค์กรยกเลิกการใช้โปรโตคอล Windows SMB เวอร์ชันเก่า และใช้ Firewall ในการควบคุมการเข้าถึง File Server หลังจากที่มีความเป็นไปได้ว่า Zero-day Exploit ของกลุ่มแฮ็คเกอร์ Shadow Brokers จะถูกเผยแพร่สู่สาธารณะเร็วๆ นี้

Credit: ShutterStock.com

การแจ้งเตือนนี้ไม่ได้ระบุถึงชื่อ Shadow Brokers โดยตรง แต่ออกมาเป็นคำแนะนำหลังพบว่าเป็นไปได้ที่จะมีช่องโหว่ใหม่ปรากฏบนโปรโตคอล SMB แต่เมื่อพิจารณาจากช่วงเวลาและข่าวที่ Shadow Brokers ลดราคาเครื่องมือแฮ็คที่ขโมยมาจาก NSA จนเหลือราคาที่อาจมีคนซื้อไปใช้ รวมไปการที่เครื่องมือเหล่านั้นมีวิธีเจาะช่องโหว่ Zero-day บนโปรโตคอล Windows SMB จึงเป็นไปได้สูงที่คำแนะนำของ US-CERT นี้มีสาเหตุมาจาก Shadow Brokers

US-CERT ระบุว่า ผู้ดูแลระบบควรยกเลิกการใช้ SMB เวอร์ชันแรก และบล็อกทราฟฟิค SMB ทั้งหมดที่มาจากเครือข่ายภายนอก เพื่อเป็นการป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

“เพื่อรับมือกับช่องโหว่บน SMB ที่อาจจะถูกโจมตีได้ในอนาคต US-CERT พร้อมให้บริการ Best Practices ที่เกี่ยวข้องกับการป้องกัน SMB ซึ่งสามารถใช้ได้บนระบบ Windows ทั่วไป และการใช้โปรโตคอล SMB เวอร์ชันเก่าอาจถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลสำคัญออกไปได้”​ — US-CERT อธิบายใน Advisory

US-CERT แนะนำให้ผู้ดูแลระบบดำเนินการเกี่ยวกับ SMB ดังนี้

  • ยกเลิกการใช้ SMB v1
  • บล็อกการใช้ SMB ทุกเวอร์ชันที่มาจากเครือข่ายภายนอก ไม่ว่าจะเป็น TCP พอร์ต 445 และพอร์ตอื่นๆ ที่เกี่ยวข้อง เช่น UDP พอร์ต 137 – 138 และ TCP พอร์ต 139

รายละเอียดเพิ่มเติมเกี่ยวกับความมั่นคงปลอดภัยของ SBM สามารถดูได้ที่ Microsoft Advisory 2696547 และ 204279

ที่มา: https://www.theregister.co.uk/2017/01/18/uscert_warns_admins_to_kill_smb_after_shadow_brokers_dump/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS เพิ่มฟีเจอร์ Anomaly Detection บน Amazon CloudWatch

AWS ผู้ให้บริการ Public Cloud ชั้นนำประกาศเพิ่มฟีเจอร์ Anomaly Detection ลงบน Amazon CloudWatch สำหรับตรววจและแจ้งเตือนผู้ดูแลระบบเมื่อมีเหตุการณ์ที่ผิดแปลกไปจากเดิมเกิดขึ้นบน Applications

Google เพิ่มฟีเจอร์ Site Isolation บน Chrome สำหรับ Android

หลังจากที่เมื่อกลางปีที่ผ่านมา Google ได้เพิ่มฟีเจอร์ Site Isolation ลงบน Chrome สำหรับ Desktop เพื่อปกป้องผู้ใช้คอมพิวเตอร์จากภัยคุกคามออนไลน์ รวมไปถึงการโจมตีแบบ Meltdown และ Spectre ล่าสุด …