Lỗ hổng dịch vụ chia sẻ dữ liệu SMBv3, có thể lây nhiễm RANSOMEWARE toàn bộ người dùng doanh nghiệp
Microsoft đã rò rỉ thông tin về một bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa 'auth' được tìm thấy trong giao thức mạng Server Message Block 3.0 (SMBv3) được cho là đã được tiết lộ như là một phần của Patch thứ ba trong tháng này.
Lỗ hổng này là do lỗi khi SMBv3 xử lý các gói dữ liệu nén được tạo thủ công độc hại và nó cho phép những kẻ tấn công từ xa, không được xác thực khai thác nó để thực thi mã tùy ý trong ngữ cảnh của ứng dụng.
Mặc dù lời khuyên về lỗ hổng không được Microsoft công bố (không có lời giải thích nào cho việc này được Redmond phát hành cho đến nay), một số nhà cung cấp bảo mật thuộc Chương trình bảo vệ chủ động của Microsoft đã truy cập sớm vào thông tin lỗ hổng đã tiết lộ chi tiết về lỗ hổng bảo mật được theo dõi như CVE-2020-0796 .
"Kẻ tấn công có thể khai thác lỗi này bằng cách gửi gói được chế tạo đặc biệt đến máy chủ SMBv3 đích mà nạn nhân cần được kết nối", Cisco Talos giải thích trong báo cáo Microsoft Patch thứ ba - sau đó đã bị các chuyên gia bảo mật Talos xóa.
"Việc khai thác lỗ hổng này mở ra các hệ thống cho đến một cuộc tấn công 'có thể bị phá hủy', điều đó có nghĩa là nó sẽ dễ dàng chuyển từ nạn nhân sang nạn nhân," họ cũng nói thêm.
Fortinet nói rằng khi khai thác thành công, CVE-2020-0796 có thể cho phép những kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống dễ bị tấn công.
Do tính bảo mật của Microsoft, mọi người đang đưa ra các lý thuyết của riêng họ về phần mềm độc hại và mức độ nghiêm trọng của nó, một số so sánh nó với EternalBlue, NotPetya, WannaCry hoặc MS17-010 ( 1 , 2 ).
Những người khác đã bắt đầu đưa ra các tên cho lỗ hổng như SMBGhost , DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue và NexternalBlue.
Đặc điểm cuộc tấn công:
Người dùng bị tấn công trực tiếp hoặc trong mạng tải và thực thi một file mã độc chứa Ransomware từ đó Ransomware sẽ lợi dụng SMBv3 để tấn công các máy tính khác trong mạng LAN dẫn tới toàn bộ máy tính lây nhiễm, bị điều khiển.
Nguy cơ:
Bạn bị mất tài khoản có giá trị, mất tiền, thông tin bí mật cá nhân, bị điều khiển computer làm hành động xấu, thậm chí nguy hại máy tính có thể bị mã hóa data tống tiền.
Phiên bản bị ảnh hưởng:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
Windows 8 and Windows Server 2012.
Cách Phòng Tránh:
Đây là 0 day vừa mới xuất hiện chưa có bản vá. Hiện tại microsoft đưa ra khuyến cáo tạm thời vô hiệu hóa SMBv3 bằng cách:
Mở Power shell quyền Admin và chạy lệnh sau:
Mặc dù lời khuyên về lỗ hổng không được Microsoft công bố (không có lời giải thích nào cho việc này được Redmond phát hành cho đến nay), một số nhà cung cấp bảo mật thuộc Chương trình bảo vệ chủ động của Microsoft đã truy cập sớm vào thông tin lỗ hổng đã tiết lộ chi tiết về lỗ hổng bảo mật được theo dõi như CVE-2020-0796 .
"Kẻ tấn công có thể khai thác lỗi này bằng cách gửi gói được chế tạo đặc biệt đến máy chủ SMBv3 đích mà nạn nhân cần được kết nối", Cisco Talos giải thích trong báo cáo Microsoft Patch thứ ba - sau đó đã bị các chuyên gia bảo mật Talos xóa.
"Việc khai thác lỗ hổng này mở ra các hệ thống cho đến một cuộc tấn công 'có thể bị phá hủy', điều đó có nghĩa là nó sẽ dễ dàng chuyển từ nạn nhân sang nạn nhân," họ cũng nói thêm.
Fortinet nói rằng khi khai thác thành công, CVE-2020-0796 có thể cho phép những kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống dễ bị tấn công.
Do tính bảo mật của Microsoft, mọi người đang đưa ra các lý thuyết của riêng họ về phần mềm độc hại và mức độ nghiêm trọng của nó, một số so sánh nó với EternalBlue, NotPetya, WannaCry hoặc MS17-010 ( 1 , 2 ).
Những người khác đã bắt đầu đưa ra các tên cho lỗ hổng như SMBGhost , DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue và NexternalBlue.
Đặc điểm cuộc tấn công:
Người dùng bị tấn công trực tiếp hoặc trong mạng tải và thực thi một file mã độc chứa Ransomware từ đó Ransomware sẽ lợi dụng SMBv3 để tấn công các máy tính khác trong mạng LAN dẫn tới toàn bộ máy tính lây nhiễm, bị điều khiển.
Nguy cơ:
Bạn bị mất tài khoản có giá trị, mất tiền, thông tin bí mật cá nhân, bị điều khiển computer làm hành động xấu, thậm chí nguy hại máy tính có thể bị mã hóa data tống tiền.
Phiên bản bị ảnh hưởng:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)
Windows 8 and Windows Server 2012.
Cách Phòng Tránh:
Đây là 0 day vừa mới xuất hiện chưa có bản vá. Hiện tại microsoft đưa ra khuyến cáo tạm thời vô hiệu hóa SMBv3 bằng cách:
Mở Power shell quyền Admin và chạy lệnh sau:
Bash:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force
