Lỗ hổng nghiêm trọng 'Wormable' SMBv3 đã có bản bá - Cài đặt ngay!

Lỗ hổng nghiêm trọng ‘Wormable’ SMBv3 đã có bản vá – Cài đặt ngay!

March 13, 2020 | vietsunshine

Microsoft hôm nay cuối cùng đã phát hành một bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm được tiết lộ gần đây trong giao thức SMBv3, cho phép kẻ tấn công khởi chạy wormable malware, có thể tự lây lan giữa các máy tính.

Được theo dõi là CVE-2020-0796, là một lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909.

Server Message Block (SMB), chạy trên cổng TCP 445, là một giao thức mạng được thiết kế để cho phép chia sẻ tệp, duyệt mạng, dịch vụ in và giao tiếp qua mạng.

Lỗ hổng tồn tại trong cách giao thức SMBv3 xử lý các yêu cầu với các tiêu đề nén (compression headers), cho phép kẻ tấn công từ xa không được xác thực thực thi mã độc trên máy chủ đích hoặc máy khách với đặc quyền hệ thống. Bản vá cho lỗ hổng (KB4551762) hiện đã có sẵn trên trang web của Microsoft.

Tiêu đề nén là một tính năng đã được thêm vào giao thức bị ảnh hưởng của hệ điều hành Windows 10 và Windows Server vào tháng 5 năm 2019, được thiết kế để nén kích thước thư được trao đổi giữa máy chủ và máy khách được kết nối với nó.

” Để khai thác lỗ hổng chống lại máy chủ, kẻ tấn công không được xác thực có thể gửi một gói được chế tạo đặc biệt đến máy chủ SMBv3 được nhắm mục tiêu. Để khai thác lỗ hổng chống lại máy khách, kẻ tấn công không được xác thực sẽ cần phải định cấu hình máy chủ SMBv3 độc hại và thuyết phục người dùng kết nối với nó,” Microsoft nói trong một tư vấn.

Tại thời điểm viết bài, chỉ có một khai thác PoC được biết đến tồn tại cho lỗ hổng, nhưng các bản vá mới  và kỹ thuật đảo ngược giờ đây cũng có thể giúp tin tặc tìm thấy các vectơ tấn công có thể phát triển phần mềm độc hại tự lan truyền được vũ khí hóa.

Một nhóm các nhà nghiên cứu riêng biệt cũng đã công bố một phân tích kỹ thuật chi tiết về lỗ hổng này, kết luận một lỗi tràn kernel pool là nguyên nhân gốc rễ của vấn đề.

Tính đến hôm nay, có gần 48.000 hệ thống Windows dễ bị tổn thương trước lỗ hổng nén SMB mới nhất và có thể truy cập qua Internet.

Do bản vá cho lỗ hổng wormable SMBv3 hiện có sẵn để tải xuống cho các phiên bản Windows bị ảnh hưởng, nên người dùng cá nhân và doanh nghiệp nên cài đặt bản cập nhật càng sớm càng tốt, thay vì chỉ dựa vào giảm thiểu.

Trong trường hợp không thể áp dụng cập nhật bản vá ngay lập tức, ít nhất nên tắt tính năng nén SMB và chặn cổng SMB cho cả kết nối trong và ngoài để giúp ngăn chặn việc khai thác từ xa.

Nguồn: Critical Patch Released for ‘Wormable’ SMBv3 Vulnerability — Install It ASAP!\

Xem thêm: [Cảnh báo] Lỗ hổng nghiêm trọng chưa được vá trong Windows SMBv3

Tags: , ,