WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Gần 1 triệu máy tính vẫn tồn tại lỗ hổng CVE-2019-0708
Hai tuần sau khi Microsoft phát hành bản vá, gần 1 triệu hệ thống Windows vẫn đứng trước nguy cơ bị tấn công qua lỗ hổng thực thi mã từ xa nghiêm trọng trong Windows Remote Desktop Protocol (RDP).
Nếu bị khai thác, lỗ hổng có thể cho phép kẻ tấn công dễ dàng gây ra tàn phá trên toàn thế giới, có khả năng tồi tệ hơn nhiều so với các cuộc tấn công của WannaCry và NotPetya trong năm 2017.
Được đặt tên là BlueKeep, lỗ hổng này, CVE-2019-0708, ảnh hưởng đến các phiên bản Windows 2003, XP, Windows 7, Windows Server 2008 và 2008 R2 và có thể tự động lây lan trên các hệ thống không được bảo vệ.
Lỗ hổng có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý và kiểm soát máy tính mục tiêu chỉ bằng cách gửi các yêu cầu tự tạo đặc biệt đến Dịch vụ Remote Desktop (RDS) của thiết bị thông qua RDP, mà không yêu cầu bất kỳ tương tác từ người dùng.
Microsoft đã phát hành một bản sửa lỗi để giải quyết lỗ hổng này cùng với bản cập nhật Patch Tuesday tháng 5 năm 2019.
Tuy nhiên, trong lần rà quét Internet mới nhất, Robert Graham, người đứng đầu công ty an ninh Errata Security, tiết lộ rằng khoảng 950.000 máy có thể truy cập công khai trên Internet vẫn tồn tại nguy cơ bị tấn công qua lỗ hổng BlueKeep.
Điều này có nghĩa là sau khi bản vá an ninh được đưa ra, không phải tất cả người dùng và tổ chức đã cập nhật bản vá để giải quyết vấn đề.
Lỗ hổng BlueKeep có tiềm năng gây ra tàn phá trên toàn thế giới đến nỗi Microsoft buộc phải phát hành bản vá cho không chỉ các phiên bản Windows được hỗ trợ mà cả Windows XP, Windows Vista và Windows Server 2003, vốn không còn được hỗ trợ nhưng vẫn được sử dụng rộng rãi.
Tuy nhiên, cho đến nay, chưa có nhà nghiên cứu nào công bố bất kỳ mã khai thác proof-of-concept cho lỗ hổng BlueKeep, mặc dù một số người xác nhận đã phát triển thành công một bộ khai thác.
Nếu việc cập nhật bản vá cho lỗ hổng không thể thực hiện sớm hơn, bạn có thể thực hiện các biện pháp giảm thiểu sau:
• Vô hiệu hóa dịch vụ RDP, nếu không cần thiết.
• Chặn cổng 3389 bằng tường lửa hoặc cài đặt để có thể truy cập cổng 3389 qua VPN riêng.
• Kích hoạt Network Level Authentication (NLA) - đây là biện pháp giảm thiểu một phần để ngăn chặn bất kỳ kẻ tấn công không được xác thực khai thác lỗ hổng này.
Chi tiết cách thức thực hiện các biện pháp giảm thiểu này, các bạn có thể xem tại https://whitehat.vn/threads/mot-so-...tu-xa-tren-giao-thuc-rdp-cve-2019-0708.12276/
Video kiểm tra lỗ hổng CVE-2019-0708 tấn công qua dịch vụ RDP có thể xem tại https://whitehat.vn/threads/tut-kiem-tra-cve-2019-0708-tan-cong-qua-dich-vu-rdp-video.12289/
Nếu bị khai thác, lỗ hổng có thể cho phép kẻ tấn công dễ dàng gây ra tàn phá trên toàn thế giới, có khả năng tồi tệ hơn nhiều so với các cuộc tấn công của WannaCry và NotPetya trong năm 2017.
Được đặt tên là BlueKeep, lỗ hổng này, CVE-2019-0708, ảnh hưởng đến các phiên bản Windows 2003, XP, Windows 7, Windows Server 2008 và 2008 R2 và có thể tự động lây lan trên các hệ thống không được bảo vệ.
Lỗ hổng có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý và kiểm soát máy tính mục tiêu chỉ bằng cách gửi các yêu cầu tự tạo đặc biệt đến Dịch vụ Remote Desktop (RDS) của thiết bị thông qua RDP, mà không yêu cầu bất kỳ tương tác từ người dùng.
Microsoft đã phát hành một bản sửa lỗi để giải quyết lỗ hổng này cùng với bản cập nhật Patch Tuesday tháng 5 năm 2019.
Tuy nhiên, trong lần rà quét Internet mới nhất, Robert Graham, người đứng đầu công ty an ninh Errata Security, tiết lộ rằng khoảng 950.000 máy có thể truy cập công khai trên Internet vẫn tồn tại nguy cơ bị tấn công qua lỗ hổng BlueKeep.
Điều này có nghĩa là sau khi bản vá an ninh được đưa ra, không phải tất cả người dùng và tổ chức đã cập nhật bản vá để giải quyết vấn đề.
Lỗ hổng BlueKeep có tiềm năng gây ra tàn phá trên toàn thế giới đến nỗi Microsoft buộc phải phát hành bản vá cho không chỉ các phiên bản Windows được hỗ trợ mà cả Windows XP, Windows Vista và Windows Server 2003, vốn không còn được hỗ trợ nhưng vẫn được sử dụng rộng rãi.
Tuy nhiên, cho đến nay, chưa có nhà nghiên cứu nào công bố bất kỳ mã khai thác proof-of-concept cho lỗ hổng BlueKeep, mặc dù một số người xác nhận đã phát triển thành công một bộ khai thác.
Nếu việc cập nhật bản vá cho lỗ hổng không thể thực hiện sớm hơn, bạn có thể thực hiện các biện pháp giảm thiểu sau:
• Vô hiệu hóa dịch vụ RDP, nếu không cần thiết.
• Chặn cổng 3389 bằng tường lửa hoặc cài đặt để có thể truy cập cổng 3389 qua VPN riêng.
• Kích hoạt Network Level Authentication (NLA) - đây là biện pháp giảm thiểu một phần để ngăn chặn bất kỳ kẻ tấn công không được xác thực khai thác lỗ hổng này.
Chi tiết cách thức thực hiện các biện pháp giảm thiểu này, các bạn có thể xem tại https://whitehat.vn/threads/mot-so-...tu-xa-tren-giao-thuc-rdp-cve-2019-0708.12276/
Video kiểm tra lỗ hổng CVE-2019-0708 tấn công qua dịch vụ RDP có thể xem tại https://whitehat.vn/threads/tut-kiem-tra-cve-2019-0708-tan-cong-qua-dich-vu-rdp-video.12289/
Theo The Hacker News
Chỉnh sửa lần cuối: