Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

www.tuoitre.vn -   12/03/2021 12:00:00 1089

Ngày 12/3/2020, Microsoft đã phát hành bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm trong giao thức chia sẻ file phổ biến SMBv3. Lỗ hổng này cho phép kẻ tấn công khởi chạy các wormable malware, có thể tự động lây lan từ một máy tính bị nhiễm sang máy tính khác.

Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

CVE-2020-0796 cho phép chạy lệnh độc hại từ xa mà không cần xác thực

Lỗ hổng có số hiệu CVE-2020-0796. Đây là một lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909.

Khối thông điệp máy chủ (SMB – Server Message Block) chạy trên cổng TCP 445, là một giao thức mạng được thiết kế để cho phép chia sẻ files, truy cập mạng, sử dụng dịch vụ máy in, và giao tiếp tiến trình (inter-process communication) trên mạng.

Trên trang web của Microsoft hiện có bản cập nhật (KB4551762) cho 1 lỗ hổng tồn tại trong cách giao thức SMBv3 xử lý các yêu cầu với tiêu đề nén, cho phép kẻ tấn công từ xa chưa xác thực chạy mã độc trên máy chủ hoặc máy khách với Hệ thống đặc quyền.

Tiêu đề nén (compression header) là một tính năng mới được thêm vào giao thức SMBv3 của HĐH Windows 10 và Windows Server vào tháng 5 năm 2019. Nó được thiết kế để nén kích thước thư được trao đổi giữa máy chủ và máy khách có liên kết.

Microsoft cho biết trong một thông báo:

“Để khai thác lỗ hổng trong máy chủ, kẻ tấn công chưa xác thực có thể gửi một gói tin được thiết đặc biệt đến máy chủ SMBv3. Còn khi khai thác lỗ hổng trong máy khách, kẻ tấn công sẽ cần phải định cấu hình 1 máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với nó.”

Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

Gần 48.000 cá nhân và doanh nghiệp bị ảnh hưởng bởi lỗ hổng SMBv3

Tại thời điểm hiện tại, chỉ có một khai thác PoC được biết đến được dùng cho việc khai thác từ xa lỗi nghiêm trọng này. Tuy nhiên, sử dụng reverse engineering trong các bản vá mới giờ đây cũng có thể giúp hacker tìm thấy các phương thức tấn công có thể vũ khí hóa hoàn toàn các phần mềm độc hại để chúng có thể tự lan truyền được.

Một nhóm các nhà nghiên cứu khác cũng đã công bố một phân tích kỹ thuật chi tiết về lỗ hổng này. Họ đưa ra kết luận một lỗi tràn kernel pool (một bộ nhớ thuộc cấp hệ thống) là nguyên nhân sâu xa của vấn đề. Tính đến 12/3/2020, có gần 48.000 hệ thống Windows bị dính lỗi này và chúng có thể đã truy cập qua mạng Internet.

Bản vá cho lỗ hổng SMBv3 hiện đã có sẵn cho các phiên bản Windows bị ảnh hưởng, người dùng gia đình và doanh nghiệp nên cài đặt bản cập nhật càng sớm càng tốt để phòng tránh các nguy cơ cho bản thân.

Trong trường hợp không thể cập nhật bản vá ngay lập tức, mọi người nên tắt tính năng nén SMB và chặn cổng SMB cho cả kết nối trong và ngoài, ngăn chặn việc bị khai thác từ xa.

Kiểm tra lỗ hổng SMBv3 trên hệ thống của bạn

Với các doanh nghiệp sử dụng Windows Server, bạn có thể kiểm tra lỗ hổng SMBv3 trên hệ thống của mình chỉ với 3 bước, sử dụng phần mềm CyStack Cloud Security.

Bước 1: Đăng ký tài khoản Cloud Security (miễn phí) tại cystack.net/vi/cloud-security

Bước 2: Thêm target (đối tượng cần kiểm tra).

Sau khi đăng ký, bạn truy cập: cloud.cystack.net/targets và chọn Thêm Target.

Cửa sổ hiện ra như sau:

Ở bước này, bạn chọn Server và điền dải IP của máy chủ Windows cần kiểm tra. Sau đó bấm Tiếp tục.

Hệ thống sẽ detect server và yêu cầu xác nhận. Bấm “Xác nhận” và hoàn thành.

Bước 3: Bật tính năng Security Monitor cho máy chủ.

Sau khi xác nhận và chuyển tới giao diện trang chủ, bạn chọn Security Monitor, bấm Kích hoạt (Activate) ở bên phải màn hình.

Hệ thống bắt đầu quét. Quá trình quét lỗ hổng bảo mật trên máy chủ có thể kéo dài từ 15-30 phút.

Khi có kết quả, hệ thống sẽ gửi email cảnh báo về địa chỉ email bạn đã sử dụng để đăng ký tài khoản.

Bạn cũng có thể kiểm tra kết quả tại giao diện chính của Cloud Security khi quá trình quét bảo mật hoàn thành.

Hoặc kiểm tra các lỗi bảo mật mà CyStack Cloud Security có thể phát hiện tại: cloud.cystack.net/vulnerability-update

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 101
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 93
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 83
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 49
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 40
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 40
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button