[Cảnh báo] Lỗ hổng nghiêm trọng chưa được vá trong Windows SMBv3

March 12, 2020 | vietsunshine

Ngay sau khi phát hành đợt cập nhật bảo mật hàng tháng, Microsoft đã đưa ra một cảnh báo tư vấn cho hàng tỷ người dùng Windows về một lỗ hổng nghiêm trọng mới, chưa được vá và có thể ảnh hưởng đến giao thức mạng Server Message Block 3.0 (SMBv3).

Có vẻ như Microsoft ban đầu dự định sửa lỗi này như là một phần của bản cập nhật March 2020 Patch Tuesday, nhưng, vì một số lý do,họ đã dừng lại vào phút cuối.

Lỗ hổng chưa được vá (được theo dõi là CVE-2020-0796), nếu được khai thác thành công, có thể cho phép kẻ tấn công thực thi mã tùy ý trên SMB Server hoặc SMB Client mục tiêu.

Sự thừa nhận muộn màng từ Microsoft đã khiến một số nhà nghiên cứu gọi lỗi này là “SMBGhost.”

“Để khai thác lỗ hổng chống lại SMB Server kẻ tấn công không được xác thực có thể gửi một gói được chế tạo đặc biệt đến Máy chủ SMBv3 được nhắm mục tiêu”, Microsoft tiết lộ trong một lời khuyên. “Để khai thác lỗ hổng chống lại Máy khách SMB, kẻ tấn công không được xác thực sẽ cần phải định cấu hình Máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với nó.”

Giao thức Server Message Block cung cấp cơ sở để chia sẻ tệp, duyệt mạng, dịch vụ in và giao tiếp giữa các mạng.

Lỗ hổng nghiêm trọng chưa được vá trong Windows SMBv3

Theo bài đăng của Cisco Talos hiện đã bị xóa, lỗ hổng này mở ra các hệ thống dễ bị tấn công “wormable”, giúp dễ dàng truyền từ nạn nhân này sang nạn nhân khác.

Mặc dù không rõ khi nào Microsoft có kế hoạch vá lỗ hổng, công ty đang kêu gọi người dùng vô hiệu hóa nén SMBv3 và chặn cổng TCP 445 trên tường lửa và máy tính khách như một cách giải quyết.

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

Hơn nữa, Microsoft đã cảnh báo rằng việc vô hiệu hóa nén SMBv3 sẽ không ngăn chặn việc khai thác các máy khách SMB.

Lỗ hổng chỉ tác động đến Windows 10 phiên bản 1903, Windows 10 phiên bản 1909, Windows Server phiên bản 1903 và Windows Server phiên bản 1909. Nhưng có thể nhiều phiên bản bị ảnh hưởng hơn khi SMB 3.0 được giới thiệu cùng với Windows 8 và Windows Server 2012.

Mặc dù mức độ nghiêm trọng của lỗi SMB, không có bằng chứng nào cho thấy nó bị khai thác ngoài tự nhiên. Nhưng cũng cần phải chú ý đến thực tế rằng điều này khác xa với lần duy nhất SMB bị khai thác như một vectơ tấn công cho các nỗ lực xâm nhập. Chỉ trong vài năm qua, một số ransomware lớn, bao gồm WannaCry và NotPetya, là hậu quả của việc khai thác dựa trên SMB.

Hiện tại, cho đến khi Microsoft phát hành bản cập nhật bảo mật được thiết kế để vá lỗ hổng RCE CVE-2020-0796, các quản trị viên hệ thống nên thực hiện các cách khắc phục để chặn các cuộc tấn công cố gắng khai thác lỗ hổng.

Nguồn: Warning — Unpatched Critical ‘Wormable’ Windows SMBv3 Flaw Disclosed

Tags: , ,