WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Lỗ hổng SMB vô tình bị lộ đã được cập nhật bản vá
Update: Ngày 12/3, Microsoft đã tung ra bản vá cho lỗ hổng CVE-2020-0796 trong giao thức SMB.
Người dùng sẽ được tự động cập nhật thông qua tính năng Windows update. Chi tiết về bản vá đã được Windows thông báo tại:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
Lỗi tràn bộ nhớ trong SMBv3
Lỗi này được mô tả là "Lỗ hổng tràn bộ nhớ đệm trong máy chủ SMB của Microsoft" và được đánh giá rất nghiêm trọng.
Lỗ hổng bắt nguồn từ cách thức phần mềm tồn tại lỗ hổng xử lý gói dữ liệu độc hại dạng nén. Một kẻ tấn công từ xa, không cần xác thực có thể khai thác lỗ hổng này để thực thi mã tùy ý trong ứng dụng.
Hiện tại chưa có cuộc tấn công nào
Tuy nhiên, hiện tại các tổ chức trên toàn thế giới chưa phải đối mặt với các cuộc tấn công trên thực tế nào.
Lỗ hổng này chỉ tác động đến SMBv3, phiên bản mới nhất của giao thức, bao gồm các phiên bản Windows gần đây.
Sau đây là danh sách các phiên bản bị ảnh hưởng:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Hoặc tải và chạy file DisableSMBCompression.reg (trong file nén đính kèm)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Hoặc tải và chạy file EnbleSMBCompression.reg (trong file nén đính kèm)
Theo ước tính có khoảng 870,000 máy tính Windows 10 tại Việt Nam có thể bị ảnh hưởng bởi lỗ hổng này.
Các chuyên gia khuyến cáo, để đảm bảo an toàn, người dùng cần lưu ý cập nhật thiết bị của mình ngay sau khi bản vá được tung ra.
Người dùng sẽ được tự động cập nhật thông qua tính năng Windows update. Chi tiết về bản vá đã được Windows thông báo tại:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
_______________________________________________________________________________
Một đoạn mô tả ngắn về lỗ hổng mới trong giao thức SMB của Microsoft (CVE-2020-0796) đã vô tình bị rò rỉ trong đợt cập nhật an ninh định kỳ mới nhất của hãng.
Lỗi này được mô tả là "Lỗ hổng tràn bộ nhớ đệm trong máy chủ SMB của Microsoft" và được đánh giá rất nghiêm trọng.
Lỗ hổng bắt nguồn từ cách thức phần mềm tồn tại lỗ hổng xử lý gói dữ liệu độc hại dạng nén. Một kẻ tấn công từ xa, không cần xác thực có thể khai thác lỗ hổng này để thực thi mã tùy ý trong ứng dụng.
Hiện tại chưa có cuộc tấn công nào
Tuy nhiên, hiện tại các tổ chức trên toàn thế giới chưa phải đối mặt với các cuộc tấn công trên thực tế nào.
Lỗ hổng này chỉ tác động đến SMBv3, phiên bản mới nhất của giao thức, bao gồm các phiên bản Windows gần đây.
Sau đây là danh sách các phiên bản bị ảnh hưởng:
- Windows 10 phiên bản 1903 cho các hệ thống 32-bit
- Windows 10 phiên bản 1903 cho các hệ thống chạy trên x64
- Windows 10 phiên bản 1903 cho các hệ thống chạy trên ARM64
- Windows Server, phiên bản 1903 (cài đặt Server Core)
- Windows 10 phiên bản 1909 cho các hệ thống 32-bit
- Windows 10 phiên bản 1909 cho hệ thống chạy x64
- Windows 10 phiên bản 1909 cho các hệ thống chạy trên ARM64
- Windows Server, phiên bản 1909 (cài đặt Server Core)
- Tắt tính năng nén dữ liệu trong giao thức SMBv3 bằng cách
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Hoặc tải và chạy file DisableSMBCompression.reg (trong file nén đính kèm)
- Chặn cổng 445
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Hoặc tải và chạy file EnbleSMBCompression.reg (trong file nén đính kèm)
Theo ước tính có khoảng 870,000 máy tính Windows 10 tại Việt Nam có thể bị ảnh hưởng bởi lỗ hổng này.
Các chuyên gia khuyến cáo, để đảm bảo an toàn, người dùng cần lưu ý cập nhật thiết bị của mình ngay sau khi bản vá được tung ra.
Theo Zdnet, Bkav
Chỉnh sửa lần cuối:
