Lỗ hổng trên giao thức SMB của Windows cho phép thực thi mã từ xa

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Ginny Hà, 04/02/17, 11:02 AM.

  1. Ginny Hà

    Ginny Hà WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 541
    Đã được thích: 74
    Điểm thành tích:
    48
    Một lỗ hổng zeroday vừa được phát hiện trên giao thức SMB (Server Message Block) của Windows, có thể bị khai thác để tấn công từ chối dịch vụ DoS hoặc thực thi mã tùy ý trên hệ thống.

    Theo US-CERT (Trung tâm Ứng cứu Khẩn cấp Máy tính Hoa Kỳ) – nơi đã đưa ra cảnh báo về vấn đề, lỗ hổng tồn tại trong cách thức Windows xử lý lưu lượng SMB và có thể bị khai thác từ xa cho các mục đích bất chính.
    [​IMG]



    SMB (một trong các phiên bản còn được gọi là CIFS (Common Internet File System) hoạt động như một giao thức mạng lớp ứng dụng, được thiết kế nhằm cho phép các thiết bị truy cập tập tin, máy in, cổng nối và các kết nối khác giữa các node trên một mạng nội bộ. Đồng thời, giao thức cũng cung cấp một cơ chế giao tiếp liên tiến trình chứng thực.

    Theo US-CERT, Windows không xử lý được các phản hồi máy chủ chứa quá nhiều byte theo sau cấu trúc được định nghĩa trong cấu trúc phản hồi SMB2 TREE_CONNECT. Vì vậy, khi một hệ thống máy khách Windows bị ảnh hưởng bởi lỗ hổng kết nối tới một máy chủ SMB độc hại, có thể bị crush (màn hình đen hay BSOD) trong mrxsmb20.sys.

    Cảnh báo cũng lưu ý rằng lỗ hổng đã được xác nhận có thể bị khai thác trong các cuộc tấn công từ chối dịch vụ DoS, nhưng không nêu chi tiết khai thác thêm như thế nào. Thông qua khai thác lỗ hổng, hacker cũng có thể thực thi mã tùy ý với quyền kernel Windows.

    "Chúng tôi đã xác nhận việc crash xảy ra với các thiết bị Windows 10 và Windows 8.1 có cập nhật đầy đủ. Lưu ý rằng có một số kỹ thuật có thể được sử dụng để kích hoạt một hệ thống Windows kết nối với chia sẻ SMB. Một số yêu cầu ít thậm chí là không cần tới tương tác của người dùng", cảnh báo chỉ ra.

    Với mã khai thác lỗ hổng đã được công khai nhưng chưa có bản vá tính đến thời điểm hiện tại, giải pháp đề xuất bao gồm chặn các kết nối outbound SMB (cổng TCP 139 và 445 cùng các cổng UDP 137 và 138) từ mạng nội bộ tới WAN.

    Lỗ hổng được các chuyên gia đánh giá 7.8 trên thang đo mức độ nghiêm trọng (theo ComputerWorld). Theo người phát hiện lỗ hổng @PythonResponder, các phiên bản Windows Server 2012 và 2016 đều bị ảnh hưởng. PoC đã được công bố trên GitHub.
    Nguồn: SecurityWeek
     
    Last edited by a moderator: 04/02/17, 11:02 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Hưng Vũ

    Hưng Vũ New Member

    Tham gia: 20/03/18, 11:03 AM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Ad cho em hỏi, các máy tính trong LAN sử dụng SMB để share file rất nhiều, giờ vô hiệu hóa giao thức này hoặc chặn các port ( TCP 139,445 và UDP137,138 ) vậy giải pháp share file thay thế trong Lan sẽ là gì ạ ? Em cảm ơn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan