Phát hiện và ngăn chặn lỗ hổng nghiêm trọng ZeroLogon Windows Server

Phát hiện và ngăn chặn lỗ hổng nghiêm trọng ZeroLogon Windows Server

September 24, 2020 | vietsunshine

Nếu bạn đang quản trị Windows Server, hãy đảm bảo rằng nó được cập nhật tất cả các bản vá gần đây do Microsoft phát hành, đặc biệt là bản vá sửa chữa lỗ hổng nghiêm trọng được vá gần đây có thể cho phép những kẻ tấn công chưa được xác thực xâm phạm bộ điều khiển miền (domain controller).

Được đặt tên là ‘Zerologon’ (CVE-2020-1472) và được Tom Tervoort của Secura phát hiện, lỗ hổng bảo mật đặc quyền tồn tại do việc sử dụng mã hóa AES-CFB8 không an toàn cho các phiên Netlogon, cho phép những kẻ tấn công từ xa thiết lập kết nối với bộ điều khiển miền được nhắm mục tiêu qua Netlogon Remote Protocol (MS-NRPC).

Mặc dù lỗ hổng bảo mật, với điểm CVSS là 10,0, lần đầu tiên được tiết lộ với công chúng khi Microsoft phát hành bản vá cho nó vào tháng 8, nó đã trở thành một vấn đề đột ngột được quan tâm sau khi các nhà nghiên cứu công bố chi tiết kỹ thuật và bằng chứng về lỗ hổng này vào tuần trước.

Cùng với các cơ quan Chính phủ Ấn ĐộÚc, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã ban hành chỉ thị khẩn cấp hướng dẫn các cơ quan liên bang vá lỗi Zerologon trên Máy chủ Windows ngay lập tức.

“Bằng cách gửi một số thông điệp Netlogon trong đó các trường khác nhau được điền bằng số 0, kẻ tấn công chưa được xác thực có thể thay đổi mật khẩu máy tính của bộ điều khiển miền được lưu trữ trong AD. Điều này sau đó có thể được sử dụng để lấy thông tin đăng nhập quản trị viên miền và sau đó khôi phục mật khẩu DC ban đầu.”

Theo Secura, lỗ hổng nói trên có thể được khai thác theo trình tự sau:

  • Giả mạo thông tin đăng nhập của khách hàng
  • Tắt RPC Signing và Sealing
  • Giải mạo một call
  • Thay đổi mật khẩu AD của máy tính
  • Thay đổi mật khẩu quản trị miền

“CISA đã xác định rằng lỗ hổng này gây ra rủi ro lớn đối với Cơ quan Điều hành Dân sự Liên bang (Federal Civilian Executive Branch) và yêu cầu một hành động khẩn cấp và ngay lập tức. Nếu không thể cập nhật các bộ điều khiển miền bị ảnh hưởng, hãy đảm bảo rằng chúng đã bị xóa khỏi mạng,” CISA khuyến cáo.

Hơn nữa, Samba – một triển khai giao thức mạng SMB cho các hệ thống Linux – phiên bản 4.7 trở xuống cũng dễ bị lỗ hổng Zerologon. Hiện tại, bản cập nhật vá lỗi cho phần mềm này cũng đã được phát hành.

Bên cạnh việc giải thích nguyên nhân gốc rễ của vấn đề, Cynet cũng công bố chi tiết về một số phương pháp quan trọng có thể được sử dụng để phát hiện việc khai thác tích cực lỗ hổng, bao gồm một mẫu bộ nhớ cụ thể trong bộ nhớ lsass.exe và lưu lượng truy cập giữa lsass.exe tăng đột biến bất thường.

windows-server

 

Để cho phép người dùng Windows Server nhanh chóng phát hiện các cuộc tấn công liên quan, các chuyên gia cũng phát hành quy tắc YARA có thể phát hiện các cuộc tấn công xảy ra trước khi triển khai, trong khi để giám sát thời gian thực, một công cụ đơn giản cũng có sẵn để tải xuống.

Tuy nhiên, để khắc phục hoàn toàn sự cố, người dùng vẫn khuyên bạn nên cài đặt bản cập nhật phần mềm mới nhất từ Microsoft càng sớm càng tốt.

Nguồn: Detecting and Preventing Critical ZeroLogon Windows Server Vulnerability

Tags: ,