TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
US Computer Emergency Readiness Team หรือ US-CERT ออกมาแนะนำให้ผู้ดูแลระบบขององค์กรยกเลิกการใช้โปรโตคอล Windows SMB เวอร์ชันเก่า และใช้ Firewall ในการควบคุมการเข้าถึง File Server หลังจากที่มีความเป็นไปได้ว่า Zero-day Exploit ของกลุ่มแฮ็คเกอร์ Shadow Brokers จะถูกเผยแพร่สู่สาธารณะเร็วๆ นี้
การแจ้งเตือนนี้ไม่ได้ระบุถึงชื่อ Shadow Brokers โดยตรง แต่ออกมาเป็นคำแนะนำหลังพบว่าเป็นไปได้ที่จะมีช่องโหว่ใหม่ปรากฏบนโปรโตคอล SMB แต่เมื่อพิจารณาจากช่วงเวลาและข่าวที่ Shadow Brokers ลดราคาเครื่องมือแฮ็คที่ขโมยมาจาก NSA จนเหลือราคาที่อาจมีคนซื้อไปใช้ รวมไปการที่เครื่องมือเหล่านั้นมีวิธีเจาะช่องโหว่ Zero-day บนโปรโตคอล Windows SMB จึงเป็นไปได้สูงที่คำแนะนำของ US-CERT นี้มีสาเหตุมาจาก Shadow Brokers
US-CERT ระบุว่า ผู้ดูแลระบบควรยกเลิกการใช้ SMB เวอร์ชันแรก และบล็อกทราฟฟิค SMB ทั้งหมดที่มาจากเครือข่ายภายนอก เพื่อเป็นการป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต
“เพื่อรับมือกับช่องโหว่บน SMB ที่อาจจะถูกโจมตีได้ในอนาคต US-CERT พร้อมให้บริการ Best Practices ที่เกี่ยวข้องกับการป้องกัน SMB ซึ่งสามารถใช้ได้บนระบบ Windows ทั่วไป และการใช้โปรโตคอล SMB เวอร์ชันเก่าอาจถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลสำคัญออกไปได้” — US-CERT อธิบายใน Advisory
US-CERT แนะนำให้ผู้ดูแลระบบดำเนินการเกี่ยวกับ SMB ดังนี้
- ยกเลิกการใช้ SMB v1
- บล็อกการใช้ SMB ทุกเวอร์ชันที่มาจากเครือข่ายภายนอก ไม่ว่าจะเป็น TCP พอร์ต 445 และพอร์ตอื่นๆ ที่เกี่ยวข้อง เช่น UDP พอร์ต 137 – 138 และ TCP พอร์ต 139
รายละเอียดเพิ่มเติมเกี่ยวกับความมั่นคงปลอดภัยของ SBM สามารถดูได้ที่ Microsoft Advisory 2696547 และ 204279
ที่มา: https://www.theregister.co.uk/2017/01/18/uscert_warns_admins_to_kill_smb_after_shadow_brokers_dump/
