Lỗ hổng trong giao thức Remote Desktop ảnh hưởng tất cả phiên bản Windows

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 14/03/18, 11:03 AM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 428
    Đã được thích: 54
    Điểm thành tích:
    48
    Một lỗ hổng quan trọng đã được phát hiện trong giao thức Credential Security Provider (CredSSP) ảnh hưởng đến tất cả các phiên bản Windows, có thể cho phép kẻ tấn công từ xa khai thác RDP và WinRM để lấy cắp dữ liệu và chạy mã độc hại.

    CredSSP1.png

    Giao thức CredSSP được thiết kế cho RDP (Remote Desktop Protocol) và Windows Remote Management (WinRM) để đảm bảo việc chuyển tiếp các thông tin xác thực mã hoá từ máy khách Windows sang máy chủ đích nhằm xác thực từ xa.

    Được phát hiện bởi các nhà nghiên cứu tại công ty an ninh mạng Preempt Security, lỗ hổng (CVE-2018-0886) là một lỗi mã hóa trong CredSSP, có thể bị khai thác bởi kẻ tấn công man-in-the-middle thông qua Wi-Fi hoặc truy cập vật lý vào mạng, lấy cắp dữ liệu xác thực phiên và thực hiện một cuộc tấn công Remote Procedure Call (cuộc gọi thủ tục từ xa).

    Khi máy khách và máy chủ xác thực qua các giao thức kết nối RDP và WinRM, một kẻ tấn công man-in-the-middle có thể thực hiện các lệnh từ xa để xâm nhập vào các mạng doanh nghiệp.

    "Kẻ tấn công đã đánh cắp một phiên làm việc từ một người dùng có đủ đặc quyền có thể thực thi các lệnh khác nhau với đặc quyền quản trị nội bộ. Điều này đặc biệt quan trọng trong trường hợp bộ điều khiển miền, nơi mà hầu hết các Remote Procedure Calls (DCE/RPC) được kích hoạt mặc định", Yaron Zinar, nhà nghiên cứu tại Preempt, cho biết.

    "Điều này có thể khiến các doanh nghiệp đối diện nhiều mối đe doạ từ những kẻ tấn công, bao gồm dịch chuyển và lây nhiễm bộ phận sang các máy chủ quan trọng hoặc các bộ điều khiển miền".

    Vì RDP là ứng dụng phổ biến nhất để thực hiện đăng nhập từ xa và hầu hết các khách hàng doanh nghiệp đều sử dụng RDP, các mạng lưới đều bị ảnh hưởng bởi vấn đề này.


    Các nhà nghiên cứu đã phát hiện ra và báo cáo lỗ hổng thực thi mã từ xa này cho Microsoft vào tháng 8 năm ngoái, nhưng gã khổng lồ công nghệ chỉ đưa ra bản sửa lỗi cho giao thức vào ngày 13/3 như một phần của Patch Tuesday - gần 7 tháng sau.

    Để bảo vệ bản thân và tổ chức trước cuộc tấn công khai thác CredSSP, người dùng được khuyến cáo vá các máy trạm và máy chủ bằng các bản cập nhật có sẵn từ Microsoft.

    Các nhà nghiên cứu cũng cảnh báo chỉ vá thôi là không đủ để ngăn chặn cuộc tấn công này, các chuyên gia CNTT cũng phải thực hiện một số cấu hình để áp dụng bản vá và được bảo vệ.

    Chặn các cổng ứng dụng có liên quan bao gồm cả RDP và DCE/RPC cũng sẽ cản trở cuộc tấn công. Giảm tối đa việc sử dụng tài khoản đặc quyền và thay vào đó hãy sử dụng các tài khoản không đặc quyền khi có thể.

    Trong Patch Tuesday tháng 3, Microsoft cũng phát hành bản vá lỗi an ninh cho các sản phẩm khác, bao gồm trình duyệt IE và Edge, Windows OS, Microsoft Office, PowerShell, Core ChakraCore, cũng như Adobe Flash player.

    Theo The Hacker News
     
    Chỉnh sửa cuối: 14/03/18, 04:03 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    nktung thích bài này.
  2. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,874
    Đã được thích: 852
    Điểm thành tích:
    113
    Để khai thác lỗ hổng này trước tiên kẻ xấu phải thực hiện tấn công nghe lén trước.

    Sau khi đã ở trong mạng rồi thì sử dụng lỗ hổng này để chiếm phiên làm việc khi có một client remote vào máy chủ, từ đó có thể điều khiển máy chủ mà kẻ xấu nhắm tới.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan