Máy tính Win10 và Windows Server ảnh hưởng nghiêm trọng bởi lỗi bảo mật giao thức SMBv3

Ngày 12/3/2020, Microsoft đã phát hành bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm trong giao thức chia sẻ file phổ biến SMBv3. Lỗ hổng này cho phép kẻ tấn công khởi chạy các wormable malware, có thể tự động lây lan từ một máy tính bị nhiễm sang máy tính khác.

CVE-2020-0796 cho phép chạy lệnh độc hại từ xa mà không cần xác thực

Lỗ hổng có số hiệu CVE-2020-0796. Đây là một lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909.

Khối thông điệp máy chủ (SMB – Server Message Block) chạy trên cổng TCP 445, là một giao thức mạng được thiết kế để cho phép chia sẻ files, truy cập mạng, sử dụng dịch vụ máy in, và giao tiếp tiến trình (inter-process communication) trên mạng.

Trên trang web của Microsoft hiện có bản cập nhật (KB4551762) cho 1 lỗ hổng tồn tại trong cách giao thức SMBv3 xử lý các yêu cầu với tiêu đề nén, cho phép kẻ tấn công từ xa chưa xác thực chạy mã độc trên máy chủ hoặc máy khách với Hệ thống đặc quyền.

Tiêu đề nén (compression header) là một tính năng mới được thêm vào giao thức SMBv3 của HĐH Windows 10 và Windows Server vào tháng 5 năm 2019. Nó được thiết kế để nén kích thước thư được trao đổi giữa máy chủ và máy khách có liên kết.

Microsoft cho biết trong một thông báo:

“Để khai thác lỗ hổng trong máy chủ, kẻ tấn công chưa xác thực có thể gửi một gói tin được thiết đặc biệt đến máy chủ SMBv3. Còn khi khai thác lỗ hổng trong máy khách, kẻ tấn công sẽ cần phải định cấu hình 1 máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với nó.”

Gần 48.000 cá nhân và doanh nghiệp bị ảnh hưởng bởi lỗ hổng SMBv3

Tại thời điểm hiện tại, chỉ có một khai thác PoC được biết đến được dùng cho việc khai thác từ xa lỗi nghiêm trọng này. Tuy nhiên, sử dụng reverse engineering trong các bản vá mới giờ đây cũng có thể giúp hacker tìm thấy các phương thức tấn công có thể vũ khí hóa hoàn toàn các phần mềm độc hại để chúng có thể tự lan truyền được.

Một nhóm các nhà nghiên cứu khác cũng đã công bố một phân tích kỹ thuật chi tiết về lỗ hổng này. Họ đưa ra kết luận một lỗi tràn kernel pool (một bộ nhớ thuộc cấp hệ thống) là nguyên nhân sâu xa của vấn đề. Tính đến 12/3/2020, có gần 48.000 hệ thống Windows bị dính lỗi này và chúng có thể đã truy cập qua mạng Internet.

Bản vá cho lỗ hổng SMBv3 hiện đã có sẵn cho các phiên bản Windows bị ảnh hưởng, người dùng gia đình và doanh nghiệp nên cài đặt bản cập nhật càng sớm càng tốt để phòng tránh các nguy cơ cho bản thân.

Trong trường hợp không thể cập nhật bản vá ngay lập tức, mọi người nên tắt tính năng nén SMB và chặn cổng SMB cho cả kết nối trong và ngoài, ngăn chặn việc bị khai thác từ xa.

Kiểm tra lỗ hổng SMBv3 trên hệ thống của bạn

Với các doanh nghiệp sử dụng Windows Server, bạn có thể kiểm tra lỗ hổng SMBv3 trên hệ thống của mình chỉ với 3 bước, sử dụng phần mềm CyStack Cloud Security.

Bước 1: Đăng ký tài khoản Cloud Security (miễn phí) tại cystack.net/vi/cloud-security

Bước 2: Thêm target (đối tượng cần kiểm tra).

Sau khi đăng ký, bạn truy cập: cloud.cystack.net/targets và chọn Thêm Target.

Cửa sổ hiện ra như sau:

Ở bước này, bạn chọn Server và điền dải IP của máy chủ Windows cần kiểm tra. Sau đó bấm Tiếp tục.

Hệ thống sẽ detect server và yêu cầu xác nhận. Bấm “Xác nhận” và hoàn thành.

Bước 3: Bật tính năng Security Monitor cho máy chủ.

Sau khi xác nhận và chuyển tới giao diện trang chủ, bạn chọn Security Monitor, bấm Kích hoạt (Activate) ở bên phải màn hình.

Hệ thống bắt đầu quét. Quá trình quét lỗ hổng bảo mật trên máy chủ có thể kéo dài từ 15-30 phút.

Khi có kết quả, hệ thống sẽ gửi email cảnh báo về địa chỉ email bạn đã sử dụng để đăng ký tài khoản.

Bạn cũng có thể kiểm tra kết quả tại giao diện chính của Cloud Security khi quá trình quét bảo mật hoàn thành.

Hoặc kiểm tra các lỗi bảo mật mà CyStack Cloud Security có thể phát hiện tại: cloud.cystack.net/vulnerability-update

Theo The HackerNews