Lỗ hổng giao thức SMBv3 ảnh hưởng nghiêm trọng tới Windows 10 và Windows Server

lỗ hổng windows SMBv3lỗ hổng windows SMBv3

Ngày 12/3/2020 vừa qua, Microsoft đã phát hành bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm trong giao thức chia sẻ file phổ biến SMBv3. Lỗ hổng này cho phép kẻ tấn công khởi chạy các wormable malware, có thể tự động lây lan từ một máy tính bị nhiễm sang máy tính khác.

CVE-2020-0796 cho phép chạy lệnh độc hại từ xa mà không cần xác thực

Lỗ hổng có số hiệu CVE-2020-0796. Đây là một lỗ hổng thực thi mã từ xa tác động ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909 .
Khối thông điệp sever ( SMB – Server Message Block ) chạy trên cổng TCP 445, là một giao thức mạng được phong cách thiết kế để cho phép san sẻ files, truy vấn mạng, sử dụng dịch vụ máy in, và tiếp xúc tiến trình ( inter-process communication ) trên mạng .

Trên trang web của Microsoft hiện có bản cập nhật (KB4551762) cho 1 lỗ hổng tồn tại trong cách giao thức SMBv3 xử lý các yêu cầu với tiêu đề nén, cho phép kẻ tấn công từ xa chưa xác thực chạy mã độc trên máy chủ hoặc máy khách với Hệ thống đặc quyền.

Tiêu đề nén ( compression header ) là một tính năng mới được thêm vào giao thức SMBv3 của HĐH Windows 10 và Windows Server vào tháng 5 năm 2019. Nó được phong cách thiết kế để nén size thư được trao đổi giữa sever và máy khách có link .
Microsoft cho biết trong một thông tin :
“ Để khai thác lỗ hổng trong sever, kẻ tiến công chưa xác nhận hoàn toàn có thể gửi một gói tin được thiết đặc biệt quan trọng đến sever SMBv3. Còn khi khai thác lỗ hổng trong máy khách, kẻ tiến công sẽ cần phải định thông số kỹ thuật 1 sever SMBv3 ô nhiễm và thuyết phục người dùng liên kết với nó. ”

Gần 48.000 cá nhân và doanh nghiệp bị ảnh hưởng bởi lỗ hổng SMBv3

Tại thời gian hiện tại, chỉ có một khai thác PoC được biết đến được dùng cho việc khai thác từ xa lỗi nghiêm trọng này. Tuy nhiên, sử dụng reverse engineering trong những bản vá mới giờ đây cũng hoàn toàn có thể giúp hacker tìm thấy những phương pháp tiến công hoàn toàn có thể vũ khí hóa trọn vẹn những ứng dụng ô nhiễm để chúng hoàn toàn có thể tự Viral được .
Một nhóm những nhà nghiên cứu khác cũng đã công bố một nghiên cứu và phân tích kỹ thuật cụ thể về lỗ hổng này. Họ đưa ra Tóm lại một lỗi tràn kernel pool ( một bộ nhớ thuộc cấp mạng lưới hệ thống ) là nguyên do sâu xa của yếu tố .
Tính đến 12/3/2020, có gần 48.000 mạng lưới hệ thống Windows bị dính lỗi này và chúng hoàn toàn có thể đã truy vấn qua mạng Internet .
Bản vá cho lỗ hổng SMBv3 hiện đã có sẵn cho những phiên bản Windows bị tác động ảnh hưởng, người dùng mái ấm gia đình và doanh nghiệp nên thiết lập bản update càng sớm càng tốt để phòng tránh những rủi ro tiềm ẩn cho bản thân .
Trong trường hợp không hề update bản vá ngay lập tức, mọi người nên tắt tính năng nén SMB và chặn cổng SMB cho cả liên kết trong và ngoài, ngăn ngừa việc bị khai thác từ xa .

Kiểm tra lỗ hổng SMBv3 trên hệ thống của bạn

Với các doanh nghiệp sử dụng Windows Server, bạn có thể kiểm tra lỗ hổng SMBv3 trên hệ thống của mình chỉ với 3 bước, sử dụng phần mềm CyStack Cloud Security.

Bước 1 : Đăng ký thông tin tài khoản Cloud Security ( không lấy phí ) tại cystack.net/vi/cloud-security
Bước 2 : Thêm target ( đối tượng người tiêu dùng cần kiểm tra ) .

Sau khi đăng ký, bạn truy cập: cloud.cystack.net/targets và chọn Thêm Target.


Cửa sổ hiện ra như sau :

Ở bước này, bạn chọn Server và điền dải IP của máy chủ Windows cần kiểm tra. Sau đó bấm Tiếp tục.


Hệ thống sẽ detect server và nhu yếu xác nhận. Bấm “ Xác nhận ” và hoàn thành xong .

Bước 3: Bật tính năng Security Monitor cho máy chủ.

Sau khi xác nhận và chuyển tới giao diện trang chủ, bạn chọn Security Monitor, bấm Kích hoạt (Activate) ở bên phải màn hình.

Hệ thống bắt đầu quét. Quá trình quét lỗ hổng bảo mật trên máy chủ có thể kéo dài từ 15-30 phút.

Khi có hiệu quả, mạng lưới hệ thống sẽ gửi email cảnh báo nhắc nhở về địa chỉ email bạn đã sử dụng để ĐK thông tin tài khoản .
email báo lỗ hổngemail báo lỗ hổng
Bạn cũng hoàn toàn có thể kiểm tra tác dụng tại giao diện chính của Cloud Security khi quy trình quét bảo mật thông tin hoàn thành xong .
Hoặc kiểm tra những lỗi bảo mật thông tin mà CyStack Cloud Security hoàn toàn có thể phát hiện tại : cloud.cystack.net/vulnerability-update

ĐÁNH GIÁ post
Bài viết liên quan

Tư vấn miễn phí (24/7) 094 179 2255