Microsoft để lộ thông tin về lỗ hổng Windows SMBv3 CVE-2020-0796

[Hamano Kaito]

​

Microsoft để lộ (rò rỉ) thông tin về bản cập nhật bảo mật với lỗ hổng thực thi mã từ xa "auth" được tìm thấy trong giao thức mạng Server Message Block 3.0 (SMBv3), thông tin được cho đã rò rỉ là một phần của bản vá (patch) thứ 3 trong tháng này.

Lỗ hổng này là do lỗi khi SMBv3 xử lý các gói dữ liệu nén mã độc được tạo thủ công và cho phép tấn công từ xa, sử dụng phương thức không xác thực kẻ tấn công có thể khai thác nó để thực thi mã từ bất kỳ trong ngữ cảnh nào của ứng dụng.

Mặc dù lỗ hổng không được Microsoft công bố (không có bất kỳ lời giải thích nào khi được Redmond phát hiện cho đến nay), một số nhà cung cấp bảo mật thuộc chương trình Microsoft Active, những người có quyền truy cập sớm vào thông tin lỗ hổng đã tiết lộ chi tiết về lỗ hổng bảo mật được theo dõi tại CVE-2020-0796

• CVE-2020-0796 - lỗ hổng SMBv3 "sâu - wormable". Tuyệt đấy.... pic.twitter.com/E3uPZkOyQN - MalwareHunterTeam (@malwrhunterteam) ngày 10 tháng 3 năm 2020

Máy tính để bàn và máy chủ trên Windows 10 điều bị ảnh hưởng lỗ hổng này.

Các thiết bị chạy Windows 10 Ver 1903, Windows Server Ver 1903 (Install Server Core), Windows 10 Ver 1909 và Windows Server Ver 1909 (Install Server Core) điều bị ảnh hưởng bởi lỗ hổng này (được nhận thấy từ Fortinet), mặc dù nhiều phiên bản bị ảnh hưởng từ SMBv3 đã được giới thiệu trong Windows 8 và Windows Server 2012.

"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gởi những gói được tạo bằng một cách đặt biệt đến máy chủ SMBv3 đích mà nạn nhân sẽ bị kết nối đến kẻ tấn công", Sico Talos giải thích trong báo cáo Microsoft Patch Tuesday và ngay sau đó đã bị loại bỏ bởi các chuyên gia bảo mật Talos.

"Nếu lỗ hổng này được khai thác ở hệ thống máy tính, thì sẽ dẫn đến một cuộc tấn công có thể xâm nhập. Điều này có nghĩa là nó sẽ dễ dàng chuyển từ nạn nhân này sang nạn nhân khác," nhà bảo mật nói thêm

Fortinet nói rằng khi lỗ hổng được khai thác thành công, CVE-2020-0796 có thể cho phép những kẻ tấn công từ xa kiểm soát hoàn toàn hệ thống đã bị tấn công.

Do tính năng bảo mật quá "xịn xò" của Microsoft, mà những nhà bảo mật đang đưa ra các lý thuyết của riêng họ về những phần mềm độc hại và mức độ nghiêm trọng của lỗ hổng này, một số còn đem ra so sánh với EternalBlue, NotPetya, WannaCry hoặc MS17-010 (1, 2)

Các nhà bảo mật còn tự đưa ra tên cho lỗ hổng lần này nữa như SMBGhost, DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue và NexternalBlue.

Cách thức chống chọi lại CVE-2020-0796

Cho đến khi Microsoft tung ra bản cập nhật bảo mật để vá lỗ hổng CVE-2020-0796 này, thì Cisco Talos đã chia sẽ cách vô hiệu hóa SMBv3 và chặn cổng 445 TCP trên máy tính cá nhân (Client). Sử dụng tường lửa để chặn các cuộc tấn công nhằm khai thác lỗ hổng.

Mặc dù chưa có bằng chứng khái niệm nào về lỗ hổng SMBv3 RCE đã được phát hiện bị khai thác, nhưng chúng tôi khuyên bạn nên thực hiện các biện pháp "phòng bệnh hơn là chữa bệnh" để giảm thiểu tối đa nhất có thể được chia sẽ lại từ Cisco Talos, cho đến khi Microsoft tung ra bản vá cập nhật bảo mật để khắc phục tất cả thông tin về lỗ hổng này.

BleepingComputer đã liên hệ với Microsoft để biết thêm chi tiết nhưng chưa nhận được phản hồi tại thời điểm này.

• Nếu bạn là Microsoft, thì về cơ bản là ngay bây giờ bạn có rất ít sự lựa chọn nào ngoài việc phải phát hành bản vá cho giai đoạn 2020-0796 ngay sau khi nó đáp ứng các tiêu chuẩn chất lượng, phải không? Có quá nhiều thông tin đã lộ ra và chỉ hi vọng là sẽ không có kẻ tấn công nào đó tìm thấy nó trước tháng tư.
• Thời gian vui nhất dành cho quản trị hệ thống ở khắp mọi nơi - Brian tại Pittsburgh (@arekfurt) ngày 10 tháng 3 năm 2020

Cập nhật: Microsoft đã đưa ra một lời khuyên bảo mật với chi tiết về cách vô hiệu hóa SMBv3 để bảo vệ khai thác máy chủ

Bạn có thể vô hiệu hóa máy chủ SMBv3 với lệnh PowerShell này (không cần khởi động lại, không ngăn chặn khai thác trên máy Client hoặc Máy cá nhân SMB)

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Các bước để bảo vệ mạng !

1/ Chặn cổng 445 TCP bằng tường lửa cho toàn phạm vi nếu dùng máy server

• Nếu bạn sử dụng máy chủ và máy client thì khi chặn cổng này sẽ giúp tránh bị khai thác lỗ hổng cho hệ thống các máy Client khỏi các cuộc khai thác lỗ hổng này. Chặn các cổng ở toàn phạm vi sẽ giúp bảo vệ mạng khỏi các cuộc tấn công từ bên ngoài, và nó cũng là cách giúp phòng chống tốt nhất dựa trên các cuộc tấn công từ Mạng.
• Tuy nhiên, các hệ thống vẫn có thể bị tấn công từ bên trong.

2/ Làm theo các bước chỉ dẫn từ Microsoft để ngăn chặn lưu lượng từ SMB,

• Hướng dẫn cụ thể nguyên tắc chặn các cổng bằng tường lửa để ngăn lưu lượng từ SMB

Nguồn và Hình | Bleepingcomputer
Bài dịch không được nuột lắm, mong A/C/E thông cảm !
Nếu có thắc mắc gì hãy PM mình​

 

[ai0ia]

Cảm ơn bác chủ bài viết hay, chi tiết và rất cần thiết...

 

[MrChef]

Chà! Vậy thì mấy anh làm Ransomware khoái lắm đây. Cứ tưởng update lên SMBv3 là ngon lành hơn rồi chứ nhỉ?

 

[Hamano Kaito]

Chà! Vậy thì mấy anh làm Ransomware khoái lắm đây. Cứ tưởng update lên SMBv3 là ngon lành hơn rồi chứ nhỉ?

Cài mấy soft RPD guard vào là OK liền ! hihihi,