maldet
VIP Members
-
31/08/2016
-
112
-
103 bài viết
"Muốn khóc lần nữa?" - Esteemaudit RDP exploit của NSA vẫn chưa được vá
Có thể có làn sóng tấn công thứ hai đối với cuộc tấn công không gian mạng toàn cầu, vì SMB (Server Message Block) không phải là giao thức mạng duy nhất mà NSA sử dụng để khai thác máy tính của bạn, theo công bố của nhóm Shadow Brokers.
Microsoft đã phát hành bản vá các lỗ hổng SMB cho các bản Windows được hỗ trợ vào tháng 3 và các bản Windows không được hỗ trợ sau khi phát hiện ransomware WannaCry. Tuy nhiên, họ đã bỏ qua việc vá thêm ba công cụ khác của NSA là “EnglishmanDentist”, “EsteemAudit” và “ExplodingCan”.
ESTEEMAUDIT: Hơn 24000 hệ thống máy tính vẫn còn nguy hiểm.
EsteemAudit là một công cụ nguy hiểm của NSA phát triển bởi Shadow Brokers nhằm vào các dịch vụ RDP (cổng 3389) trên máy Microsoft Windows Server 2003 / Windows XP.
Hiện tại, Microsoft đã không còn hỗ trợ Windows Server 2003 và Windows XP. Họ vẫn chưa đưa ra bất kỳ bản vá nào cho EsteemAudit.
Hiện vẫn còn hơn 24.000 hệ thống tồn tại lỗ hổng này, do đó bất kỳ ai cũng có thể hack được vào chúng.
Theo Omri Misgav và Tal Liberman, các chuyên gia bảo mật của công ty an ninh mạng Ensilo, người đã đưa ra cuộc tấn công AtomBombing năm ngoái và đã phát hành một bản vá lỗi không chính thức cho EsteemAudit, chỉ cần hack được vào một máy tính là cả hệ thống mạng của một doanh nghiệp coi như rộng mở với các hacker.
EsteemAudit cực kỳ nguy hiểm, cũng tương tự như WannaCry, cho phép kẻ tấn công phát tán trong các mạng doanh nghiệp, để lại hàng ngàn hệ thống tồn tại lỗ hổng để khai thác lây nhiễm ransomware, phần mềm gián điệp và các cuộc tấn công nguy hiểm khác.
Tác giả của các ransomware, chẳng hạn như tội phạm đứng sau CrySiS, Dharma, và SamSam,… đã lây nhiễm vào máy tính qua giao thức RDP, có thể tận dụng EsteemAudit cho các cuộc tấn công lan rộng và phá hoại như WannaCry bất cứ khi nào.
Làm thế nào để bảo vệ trước cuộc tấn công lần thứ 2?
Hiện tại, các máy tính đang chạy Windows 7 trở lên hoặc Exchange 2010 trở lên không cần phải lo lắng về lỗ hổng này. Do đó biện pháp triệt để nhất để bảo vệ máy tính trước cuộc tấn công Muốn khóc lần thứ 2 đó là nâng cấp hệ điều hành lên phiên bản mới từ Windows 7 trở lên.
Tuy nhiên, với các doanh nghiệp thì không đơn giản như vậy. Do không thể nâng cấp ngay lập tức, nên biện pháp tốt nhất là bảo vệ cổng RDP bằng cách vô hiệu hóa nó.
Hiện tại, enSilo đã phát hành bản vá để giúp người dùng Windows XP và Server 2003 bảo vệ máy của mình trước EsteemAudit. Tuy nhiên, đây không phải là một bản vá chính thức từ Microsoft. Bạn có thể tải về tại đây.
ESTEEMAUDIT: Hơn 24000 hệ thống máy tính vẫn còn nguy hiểm.
EsteemAudit là một công cụ nguy hiểm của NSA phát triển bởi Shadow Brokers nhằm vào các dịch vụ RDP (cổng 3389) trên máy Microsoft Windows Server 2003 / Windows XP.
Hiện tại, Microsoft đã không còn hỗ trợ Windows Server 2003 và Windows XP. Họ vẫn chưa đưa ra bất kỳ bản vá nào cho EsteemAudit.
Hiện vẫn còn hơn 24.000 hệ thống tồn tại lỗ hổng này, do đó bất kỳ ai cũng có thể hack được vào chúng.
Theo Omri Misgav và Tal Liberman, các chuyên gia bảo mật của công ty an ninh mạng Ensilo, người đã đưa ra cuộc tấn công AtomBombing năm ngoái và đã phát hành một bản vá lỗi không chính thức cho EsteemAudit, chỉ cần hack được vào một máy tính là cả hệ thống mạng của một doanh nghiệp coi như rộng mở với các hacker.
EsteemAudit cực kỳ nguy hiểm, cũng tương tự như WannaCry, cho phép kẻ tấn công phát tán trong các mạng doanh nghiệp, để lại hàng ngàn hệ thống tồn tại lỗ hổng để khai thác lây nhiễm ransomware, phần mềm gián điệp và các cuộc tấn công nguy hiểm khác.
Tác giả của các ransomware, chẳng hạn như tội phạm đứng sau CrySiS, Dharma, và SamSam,… đã lây nhiễm vào máy tính qua giao thức RDP, có thể tận dụng EsteemAudit cho các cuộc tấn công lan rộng và phá hoại như WannaCry bất cứ khi nào.
Làm thế nào để bảo vệ trước cuộc tấn công lần thứ 2?
Do sự tàn phá của WannaCry, dịch vụ SMB đã thu hút được sự chú ý, và RDP bị bỏ quên. Theo các chuyên gia, các hệ thống máy tính chạy trên Windows XP hiện vẫn chiếm hơn 7% các hệ điều hành dành cho máy tính để bàn. Ước tính có hơn 600.000 máy chủ, vận hành hơn 175 triệu trang web, vẫn chạy Windows Server 2003 tương đương khoảng 18% thị phần toàn cầu “, các nhà nghiên cứu cho biết.Hiện tại, các máy tính đang chạy Windows 7 trở lên hoặc Exchange 2010 trở lên không cần phải lo lắng về lỗ hổng này. Do đó biện pháp triệt để nhất để bảo vệ máy tính trước cuộc tấn công Muốn khóc lần thứ 2 đó là nâng cấp hệ điều hành lên phiên bản mới từ Windows 7 trở lên.
Tuy nhiên, với các doanh nghiệp thì không đơn giản như vậy. Do không thể nâng cấp ngay lập tức, nên biện pháp tốt nhất là bảo vệ cổng RDP bằng cách vô hiệu hóa nó.
Hiện tại, enSilo đã phát hành bản vá để giúp người dùng Windows XP và Server 2003 bảo vệ máy của mình trước EsteemAudit. Tuy nhiên, đây không phải là một bản vá chính thức từ Microsoft. Bạn có thể tải về tại đây.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành:
