Microsoft Windows 10 phiên bản mới nhất có lỗ hổng bảo mật RCE của máy chủ và máy chủ SMBv3, đây là các biện pháp bảo vệ tạm thời
Các phiên bản mới nhất của Windows 10, cụ thể là v1903 và v1909, chứa một lỗ hổng bảo mật có thể khai thác được có thể được sử dụng để khai thác giao thức Server Message Block (SMB). Máy chủ và máy khách SMBv3 có thể được xâm nhập thành công và được sử dụng để chạy mã tùy ý. Điều đáng quan tâm hơn nữa là thực tế là lỗ hổng bảo mật có thể bị khai thác từ xa bằng một số phương pháp đơn giản.
Microsoft đã thừa nhận một lỗ hổng bảo mật mới trong giao thức Microsoft Server Message Block 3.1.1 (SMB). Công ty dường như đã vô tình làm rò rỉ các thông tin chi tiết trong bản cập nhật Patch Thứ Ba của tuần này. Các lỗ hổng bảo mật có thể bị khai thác từ xa để thực thi mã trên Máy chủ hoặc Máy khách SMB. Về cơ bản, đây là một lỗi liên quan đến RCE (Thực thi mã từ xa).
Microsoft xác nhận lỗ hổng bảo mật bên trong SMBv3:
Trong một tư vấn bảo mật được công bố ngày hôm qua, Microsoft giải thích rằng lỗ hổng bảo mật ảnh hưởng đến các phiên bản 1903 và 1909 của Windows 10 và Windows Server. Tuy nhiên, công ty đã nhanh chóng chỉ ra rằng lỗ hổng vẫn chưa được khai thác. Tình cờ, công ty đã bị rò rỉ thông tin chi tiết về lỗ hổng bảo mật được gắn thẻ là CVE-2020-0796. Nhưng trong khi làm như vậy, công ty đã không công bố bất kỳ chi tiết kỹ thuật nào. Microsoft chỉ cung cấp các bản tóm tắt ngắn mô tả lỗi. Chọn cùng một công ty sản phẩm bảo mật kỹ thuật số nằm trong Chương trình bảo vệ tích cực của công ty và có quyền truy cập sớm vào thông tin lỗi, đã xuất bản thông tin.
Điều quan trọng cần lưu ý là lỗi bảo mật SMBv3 chưa có bản vá. Rõ ràng là Microsoft ban đầu có thể đã lên kế hoạch phát hành một bản vá cho lỗ hổng này nhưng không thể và sau đó không cập nhật được các đối tác và nhà cung cấp trong ngành. Điều này dẫn đến việc công bố lỗ hổng bảo mật vẫn có thể bị khai thác trong tự nhiên.
Làm thế nào những kẻ tấn công có thể khai thác lỗ hổng bảo mật SMBv3?
Trong khi các thông tin chi tiết vẫn đang xuất hiện, hệ thống máy tính chạy Windows 10 phiên bản 1903, Windows Server v1903 (cài đặt Server Core), Windows 10 v1909 và Windows Server v1909 (cài đặt Server Core) bị ảnh hưởng. Tuy nhiên, có nhiều khả năng là các phiên bản hệ điều hành Windows trước đó cũng có thể dễ bị tấn công.
Giải thích khái niệm cơ bản và loại lỗ hổng bảo mật SMBv3, Microsoft lưu ý: “Để khai thác lỗ hổng bảo mật chống lại Máy chủ SMB, kẻ tấn công không được xác thực có thể gửi một gói được chế tạo đặc biệt đến máy chủ SMBv3 được nhắm mục tiêu. Để khai thác lỗ hổng chống lại Máy khách SMB, kẻ tấn công chưa được xác thực sẽ cần phải định cấu hình Máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với máy chủ đó ”.
Mặc dù có một chút ít thông tin chi tiết nhưng các chuyên gia chỉ ra rằng lỗi SMBv3 có thể cho phép những kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống dễ bị tấn công. Hơn nữa, lỗ hổng bảo mật cũng có thể bị sâu. Nói cách khác, những kẻ tấn công có thể tự động tấn công thông qua các máy chủ SMBv3 bị xâm nhập và tấn công nhiều máy.
Làm thế nào để bảo vệ hệ điều hành Windows và máy chủ SMBv3 khỏi lỗ hổng bảo mật mới?
Microsoft có thể đã thừa nhận sự tồn tại của một lỗ hổng bảo mật bên trong SMBv3. Tuy nhiên, công ty đã không cung cấp bất kỳ bản vá nào để bảo vệ điều tương tự. Người dùng có thể vô hiệu hóa tính năng nén SMBv3 để ngăn những kẻ tấn công khai thác lỗ hổng chống lại Máy chủ SMB. Lệnh đơn giản để thực thi bên trong PowerShell như sau:
Để hoàn tác bảo vệ tạm thời chống lại lỗ hổng bảo mật SMBv3, hãy nhập lệnh sau:
Điều quan trọng cần lưu ý là phương pháp này không toàn diện và sẽ chỉ làm chậm trễ hoặc làm nản lòng kẻ tấn công. Microsoft khuyến nghị chặn cổng TCP ‘445’ trên tường lửa và máy khách. “Điều này có thể giúp bảo vệ mạng khỏi các cuộc tấn công bắt nguồn từ bên ngoài chu vi doanh nghiệp. Chặn các cổng bị ảnh hưởng ở chu vi doanh nghiệp là cách bảo vệ tốt nhất để giúp tránh các cuộc tấn công dựa trên Internet, ”Microsoft khuyến cáo.