Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

www.tuoitre.vn -   12/03/2021 12:00:00 520

Ngày 12/3/2020, Microsoft đã phát hành bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm trong giao thức chia sẻ file phổ biến SMBv3. Lỗ hổng này cho phép kẻ tấn công khởi chạy các wormable malware, có thể tự động lây lan từ một máy tính bị nhiễm sang máy tính khác.

Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

CVE-2020-0796 cho phép chạy lệnh độc hại từ xa mà không cần xác thực

Lỗ hổng có số hiệu CVE-2020-0796. Đây là một lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909.

Khối thông điệp máy chủ (SMB – Server Message Block) chạy trên cổng TCP 445, là một giao thức mạng được thiết kế để cho phép chia sẻ files, truy cập mạng, sử dụng dịch vụ máy in, và giao tiếp tiến trình (inter-process communication) trên mạng.

Trên trang web của Microsoft hiện có bản cập nhật (KB4551762) cho 1 lỗ hổng tồn tại trong cách giao thức SMBv3 xử lý các yêu cầu với tiêu đề nén, cho phép kẻ tấn công từ xa chưa xác thực chạy mã độc trên máy chủ hoặc máy khách với Hệ thống đặc quyền.

Tiêu đề nén (compression header) là một tính năng mới được thêm vào giao thức SMBv3 của HĐH Windows 10 và Windows Server vào tháng 5 năm 2019. Nó được thiết kế để nén kích thước thư được trao đổi giữa máy chủ và máy khách có liên kết.

Microsoft cho biết trong một thông báo:

“Để khai thác lỗ hổng trong máy chủ, kẻ tấn công chưa xác thực có thể gửi một gói tin được thiết đặc biệt đến máy chủ SMBv3. Còn khi khai thác lỗ hổng trong máy khách, kẻ tấn công sẽ cần phải định cấu hình 1 máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với nó.”

Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

Gần 48.000 cá nhân và doanh nghiệp bị ảnh hưởng bởi lỗ hổng SMBv3

Tại thời điểm hiện tại, chỉ có một khai thác PoC được biết đến được dùng cho việc khai thác từ xa lỗi nghiêm trọng này. Tuy nhiên, sử dụng reverse engineering trong các bản vá mới giờ đây cũng có thể giúp hacker tìm thấy các phương thức tấn công có thể vũ khí hóa hoàn toàn các phần mềm độc hại để chúng có thể tự lan truyền được.

Một nhóm các nhà nghiên cứu khác cũng đã công bố một phân tích kỹ thuật chi tiết về lỗ hổng này. Họ đưa ra kết luận một lỗi tràn kernel pool (một bộ nhớ thuộc cấp hệ thống) là nguyên nhân sâu xa của vấn đề. Tính đến 12/3/2020, có gần 48.000 hệ thống Windows bị dính lỗi này và chúng có thể đã truy cập qua mạng Internet.

Bản vá cho lỗ hổng SMBv3 hiện đã có sẵn cho các phiên bản Windows bị ảnh hưởng, người dùng gia đình và doanh nghiệp nên cài đặt bản cập nhật càng sớm càng tốt để phòng tránh các nguy cơ cho bản thân.

Trong trường hợp không thể cập nhật bản vá ngay lập tức, mọi người nên tắt tính năng nén SMB và chặn cổng SMB cho cả kết nối trong và ngoài, ngăn chặn việc bị khai thác từ xa.

Kiểm tra lỗ hổng SMBv3 trên hệ thống của bạn

Với các doanh nghiệp sử dụng Windows Server, bạn có thể kiểm tra lỗ hổng SMBv3 trên hệ thống của mình chỉ với 3 bước, sử dụng phần mềm CyStack Cloud Security.

Bước 1: Đăng ký tài khoản Cloud Security (miễn phí) tại cystack.net/vi/cloud-security

Bước 2: Thêm target (đối tượng cần kiểm tra).

Sau khi đăng ký, bạn truy cập: cloud.cystack.net/targets và chọn Thêm Target.

Cửa sổ hiện ra như sau:

Ở bước này, bạn chọn Server và điền dải IP của máy chủ Windows cần kiểm tra. Sau đó bấm Tiếp tục.

Hệ thống sẽ detect server và yêu cầu xác nhận. Bấm “Xác nhận” và hoàn thành.

Bước 3: Bật tính năng Security Monitor cho máy chủ.

Sau khi xác nhận và chuyển tới giao diện trang chủ, bạn chọn Security Monitor, bấm Kích hoạt (Activate) ở bên phải màn hình.

Hệ thống bắt đầu quét. Quá trình quét lỗ hổng bảo mật trên máy chủ có thể kéo dài từ 15-30 phút.

Khi có kết quả, hệ thống sẽ gửi email cảnh báo về địa chỉ email bạn đã sử dụng để đăng ký tài khoản.

Bạn cũng có thể kiểm tra kết quả tại giao diện chính của Cloud Security khi quá trình quét bảo mật hoàn thành.

Hoặc kiểm tra các lỗi bảo mật mà CyStack Cloud Security có thể phát hiện tại: cloud.cystack.net/vulnerability-update

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 10
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 13
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 10
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng nghìn thiết bị bị lây nhiễm phần mề...

28/11/2022 08:00:00 12
Phần mềm độc hại lừa đảo ngân hàng Android được gọi là SharkBot một lần nữa xuất hiện trên Cửa hàng ...

34 nhóm tội phạm mạng Nga đã đánh cắp hơ...

25/11/2022 08:00:00 7
Có tới 34 băng nhóm nói tiếng Nga đang phân phối phần mềm độc hại đánh cắp thông tin theo mô hình kẻ...

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 71
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ