Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

www.tuoitre.vn -   12/03/2021 12:00:00 833

Ngày 12/3/2020, Microsoft đã phát hành bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm trong giao thức chia sẻ file phổ biến SMBv3. Lỗ hổng này cho phép kẻ tấn công khởi chạy các wormable malware, có thể tự động lây lan từ một máy tính bị nhiễm sang máy tính khác.

Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

CVE-2020-0796 cho phép chạy lệnh độc hại từ xa mà không cần xác thực

Lỗ hổng có số hiệu CVE-2020-0796. Đây là một lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909.

Khối thông điệp máy chủ (SMB – Server Message Block) chạy trên cổng TCP 445, là một giao thức mạng được thiết kế để cho phép chia sẻ files, truy cập mạng, sử dụng dịch vụ máy in, và giao tiếp tiến trình (inter-process communication) trên mạng.

Trên trang web của Microsoft hiện có bản cập nhật (KB4551762) cho 1 lỗ hổng tồn tại trong cách giao thức SMBv3 xử lý các yêu cầu với tiêu đề nén, cho phép kẻ tấn công từ xa chưa xác thực chạy mã độc trên máy chủ hoặc máy khách với Hệ thống đặc quyền.

Tiêu đề nén (compression header) là một tính năng mới được thêm vào giao thức SMBv3 của HĐH Windows 10 và Windows Server vào tháng 5 năm 2019. Nó được thiết kế để nén kích thước thư được trao đổi giữa máy chủ và máy khách có liên kết.

Microsoft cho biết trong một thông báo:

“Để khai thác lỗ hổng trong máy chủ, kẻ tấn công chưa xác thực có thể gửi một gói tin được thiết đặc biệt đến máy chủ SMBv3. Còn khi khai thác lỗ hổng trong máy khách, kẻ tấn công sẽ cần phải định cấu hình 1 máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với nó.”

Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

Gần 48.000 cá nhân và doanh nghiệp bị ảnh hưởng bởi lỗ hổng SMBv3

Tại thời điểm hiện tại, chỉ có một khai thác PoC được biết đến được dùng cho việc khai thác từ xa lỗi nghiêm trọng này. Tuy nhiên, sử dụng reverse engineering trong các bản vá mới giờ đây cũng có thể giúp hacker tìm thấy các phương thức tấn công có thể vũ khí hóa hoàn toàn các phần mềm độc hại để chúng có thể tự lan truyền được.

Một nhóm các nhà nghiên cứu khác cũng đã công bố một phân tích kỹ thuật chi tiết về lỗ hổng này. Họ đưa ra kết luận một lỗi tràn kernel pool (một bộ nhớ thuộc cấp hệ thống) là nguyên nhân sâu xa của vấn đề. Tính đến 12/3/2020, có gần 48.000 hệ thống Windows bị dính lỗi này và chúng có thể đã truy cập qua mạng Internet.

Bản vá cho lỗ hổng SMBv3 hiện đã có sẵn cho các phiên bản Windows bị ảnh hưởng, người dùng gia đình và doanh nghiệp nên cài đặt bản cập nhật càng sớm càng tốt để phòng tránh các nguy cơ cho bản thân.

Trong trường hợp không thể cập nhật bản vá ngay lập tức, mọi người nên tắt tính năng nén SMB và chặn cổng SMB cho cả kết nối trong và ngoài, ngăn chặn việc bị khai thác từ xa.

Kiểm tra lỗ hổng SMBv3 trên hệ thống của bạn

Với các doanh nghiệp sử dụng Windows Server, bạn có thể kiểm tra lỗ hổng SMBv3 trên hệ thống của mình chỉ với 3 bước, sử dụng phần mềm CyStack Cloud Security.

Bước 1: Đăng ký tài khoản Cloud Security (miễn phí) tại cystack.net/vi/cloud-security

Bước 2: Thêm target (đối tượng cần kiểm tra).

Sau khi đăng ký, bạn truy cập: cloud.cystack.net/targets và chọn Thêm Target.

Cửa sổ hiện ra như sau:

Ở bước này, bạn chọn Server và điền dải IP của máy chủ Windows cần kiểm tra. Sau đó bấm Tiếp tục.

Hệ thống sẽ detect server và yêu cầu xác nhận. Bấm “Xác nhận” và hoàn thành.

Bước 3: Bật tính năng Security Monitor cho máy chủ.

Sau khi xác nhận và chuyển tới giao diện trang chủ, bạn chọn Security Monitor, bấm Kích hoạt (Activate) ở bên phải màn hình.

Hệ thống bắt đầu quét. Quá trình quét lỗ hổng bảo mật trên máy chủ có thể kéo dài từ 15-30 phút.

Khi có kết quả, hệ thống sẽ gửi email cảnh báo về địa chỉ email bạn đã sử dụng để đăng ký tài khoản.

Bạn cũng có thể kiểm tra kết quả tại giao diện chính của Cloud Security khi quá trình quét bảo mật hoàn thành.

Hoặc kiểm tra các lỗi bảo mật mà CyStack Cloud Security có thể phát hiện tại: cloud.cystack.net/vulnerability-update

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 74
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 583
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 929
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 766
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 573
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 570
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ