Cập nhật Windows 10 ngay lập tức để vá lỗ hổng được NSA phát hiện

Cập nhật Windows 10 ngay lập tức để vá lỗ hổng được NSA phát hiện

January 15, 2020 | hieulx

Sau khi Adobe phát hành bản cập nhật Patch Tuesday đầu tiên cho năm 2020, Microsoft cũng đã công bố các tư vấn bảo mật tháng 1 của mình để cảnh báo hàng tỷ người dùng về 49 lỗ hổng mới trong các sản phẩm khác nhau của họ.

Điều đặc biệt ở Patch Tuesday mới nhất là một trong những bản cập nhật sửa một lỗ hổng nghiêm trọng trong thành phần mật mã cốt lõi của các phiên bản Windows 10, Server 2016 và 2019 được sử dụng rộng rãi đã được Cơ quan An ninh Quốc gia của Hoa Kỳ (NSA) phát hiện và báo cáo cho công ty.

Điều thú vị hơn là đây là lỗ hổng bảo mật đầu tiên trong HĐH Windows mà NSA đã báo cáo với Microsoft, không giống như lỗ hổng Eternalblue SMB mà cơ quan này giữ bí mật trong ít nhất năm năm và sau đó bị một nhóm bí ẩn rò rỉ ra công chúng, gây ra mối đe dọa WannaCry trong năm 2017.

CVE-2020-0601: Lỗ hổng giả mạo Windows CryptoAPI

Theo một lời khuyên do Microsoft phát hành, lỗ hổng, được đặt tên là ‘NSACrypt’ và được theo dõi là CVE-2020-0601, nằm trong mô-đun Crypt32.dll chứa nhiều ‘Chức năng nhắn tin mã hóa’  (Certificate and Cryptographic Messaging functions) được sử dụng bởi API Crypto của Windows để xử lý mã hóa và giải mã dữ liệu.

Vấn đề nằm ở cách mô-đun Crypt32.dll xác nhận các chứng chỉ Elliptic Curve Cryptography (ECC) hiện là tiêu chuẩn công nghiệp cho mật mã khóa công khai và được sử dụng trong phần lớn các chứng chỉ SSL/TLS.

Trong thông cáo báo chí do NSA xuất bản, cơ quan này giải thích “lỗ hổng xác thực chứng chỉ cho phép kẻ tấn công phá hoại cách Windows xác minh cryptographic trust và có thể cho phép thực thi mã từ xa”.

Khai thác lỗ hổng cho phép kẻ tấn công lạm dụng xác thực sự tin tưởng (validation of trust) giữa:

  • Kết nối HTTPS
  • Các tên tin và email đã đánh dấu
  • Mã thực thi đã đánh dấu khởi chạy dưới dạng quy trình chế độ người dùng (user-mode)

Mặc dù các chi tiết kỹ thuật của lỗ hổng vẫn chưa có sẵn cho công chúng, Microsoft xác nhận lỗ hổng này, nếu khai thác thành công, có thể cho phép kẻ tấn công giả mạo chữ ký số (digital signatures) trên phần mềm, lừa hệ điều hành cài đặt phần mềm độc hại trong khi mạo danh danh tính của bất kỳ phần mềm hợp pháp nào mà người dùng không hề biết.

“Lỗ hổng giả mạo tồn tại trong cách Windows CryptoAPI (Crypt32.dll) xác nhận chứng chỉ Elliptic Curve Cryptography (ECC)”, theo tư vấn của Microsoft.

“Kẻ tấn công có thể khai thác lỗ hổng bằng cách sử dụng code-signing certificate giả mạo để sign một tệp thực thi độc hại, làm cho nó xuất hiện tệp từ một nguồn hợp pháp, đáng tin cậy. Người dùng sẽ không có cách nào biết được tệp này là độc hại vì chữ ký số sẽ xuất hiện từ một nhà cung cấp đáng tin cậy.”

Bên cạnh đó, lỗ hổng trong CryptoAPI cũng có thể giúp những kẻ tấn công trung gian (man-in-the-middle) từ xa dễ dàng mạo danh các trang web hoặc giải mã thông tin bí mật về kết nối của người dùng với phần mềm bị ảnh hưởng.

“Lỗ hổng này được phân loại quan trọng và chúng tôi chưa thấy nó được sử dụng trong các cuộc tấn công”, Microsoft nói trong một bài đăng trên riêng biệt.

Lỗ hổng này là một ví dụ về sự hợp tác của chúng tôi với cộng đồng nghiên cứu bảo mật nơi lỗ hổng được tiết lộ riêng tư và một bản cập nhật được phát hành để đảm bảo khách hàng không gặp rủi ro. Hậu quả của việc không vá lỗ hổng là nghiêm trọng và phổ biến. Các công cụ khai thác từ xa có thể sẽ được thực hiện nhanh chóng và có sẵn rộng rãi”, NSA nói.

Bên cạnh lỗ hổng giả mạo Windows CryptoAPI được đánh giá là ‘quan trọng’ về mức độ nghiêm trọng, Microsoft cũng đã vá 48 lỗ hổng khác, 8 trong số đó là nghiêm trọng và tất cả 40 đều quan trọng.

Không có giảm thiểu hoặc giải pháp cho lỗ hổng này, vì vậy bạn nên cài đặt các bản cập nhật phần mềm mới nhất bằng cách vào Cài đặt Windows của bạn → Cập nhật & Bảo mật → Cập nhật Windows → nhấp vào ‘Kiểm tra cập nhật trên PC của bạn.’

Các lỗ hổng RCE quan trọng khác trong Windows

Hai trong số các vấn đề nghiêm trọng ảnh hưởng đến Windows Remote Desktop Gateway (Cổng RD), được theo dõi là CVE-2020-0609CVE-2020-0610, có thể bị những kẻ tấn công không được xác thực khai thác để thực thi mã độc trên các hệ thống được nhắm mục tiêu chỉ bằng cách gửi yêu cầu được chế tạo đặc biệt thông qua RDP.

“Lỗ hổng này là xác thực trước (pre-authentication) và không yêu cầu tương tác người dùng. Kẻ tấn công khai thác thành công lỗ hổng này có thể thực thi mã tùy ý trên hệ thống đích”,.

Một vấn đề nghiêm trọng trong Remote Desktop Client, được theo dõi là CVE-2020-0611, có thể dẫn đến một cuộc tấn công RDP ngược trong đó máy chủ độc hại có thể thực thi mã tùy ý trên máy tính của máy khách đang kết nối.

“Kẻ tấn công cũng có thể thỏa hiệp một máy chủ hợp pháp, lưu trữ mã độc trên đó và chờ người dùng kết nối.”

May mắn thay, không có lỗ hổng nào được Microsoft giải quyết trong tháng này được tiết lộ công khai hoặc bị phát hiện khai thác.

Nguồn: Update Windows 10 Immediately to Patch a Flaw Discovered by the NSA

Tags: , ,