Microsoft đã báo cáo rằng kẻ tấn công gửi một gói dữ liệu độc hại tới máy chủ SMBv3 để khai thác lỗ hổng chống lại máy chủ. Khi tấn công người dùng, hacker sẽ tạo máy chủ SMBv3 từ gói tin chứa mã độc hại và thuyết phục người dùng kết nối tới máy chủ đó bằng cách thiết lập máy chủ SMBv3.
SMB (Server Message Block) chạy trên cổng 445 và là một giao thức mạng cho phép chia sẻ file, duyệt mạng, in và giao tiếp qua mạng.
Lỗ hổng là do SMBv3 xử lý các truy vấn của tính năng nén dữ liệu phần header (compression header) cho phép kẻ tấn công từ xa thực thi mã độc trên máy chủ hoặc máy khách với đặc quyền trên cả Hệ thống.
Kể từ tháng 5/2019, hệ điều hành Windows 10 và Windows Server đã sử dụng tính năng nén thư để nén các thư trao đổi giữa máy chủ và máy khách. Tính năng này đã được thêm vào giao thức bị ảnh hưởng của chúng.
Số lượng người dùng chuyển đổi sang Windows 10 là nguồn tài nguyên quan trọng của các tin tặc hiện tại, cùng với thông báo của Microsoft sẽ ngừng phát hành bản vá cho các lỗ hổng trên Windows 7 sau ngày 14/1.
Bản vá lỗi CVE-2020-0796 là bản vá lỗ hổng thực thi mã từ xa có tác động đến các phiên bản hệ điều hành như trang Microsoft liệt kê:
32-bit Systems
ARM64-based Systems
X64-based Systems
32-bit Systems
ARM64-based Systems
Đối với x64-based Systems, Windows 10 Version 1909 là phiên bản dành cho năm 1909.
Windows Server, 1903 (Server Core Install)
Windows Server, phiên bản 1909 (Server Core Install)
CVE-2020-0796
Mặc dù chưa ghi nhận đáng tiếc nào về việc khai thác thông qua lỗ hổng SMBv3 được phát hiện bị khai thác, nhưng chúng tôi nên thực hiện các biện pháp "phòng hơn chống" để giảm thiểu tối đa rủi ro tiềm năng. Vì Microsoft đã phát triển bản vá bảo mật hiện tại để giải quyết tất cả các thông tin liên quan đến lỗ hổng này, nên việc cập nhật bản vá lỗi của bạn là điều cần thiết ngay lập tức.
Bạn có thể vô hiệu hóa SMBv3 và chặn cổng 445 TCP của máy tính cá nhân (Client) bằng tường lửa được cài đặt ngay trên máy tính của bạn để ngăn chặn các cuộc tấn công nhằm khai thác lỗ hổng nếu hệ điều hành của bạn không thể cập nhật bản vá lỗi CVE-2020-0796 này.
Khi chặn cổng này, máy chủ của bạn sẽ tránh bị khai thác lỗ hổng cho hệ thống máy Client khỏi các hoạt động khai thác lỗ hổng này. Mạng được bảo vệ khỏi các cuộc tấn công từ bên ngoài bằng cách chặn cổng trên toàn bộ mạng và đây cũng là cách phòng chống tốt nhất các cuộc tấn công từ internet.
Ngược lại, các hệ thống vẫn có thể bị tấn công từ bên trong bĐể thách thức quy tắc tường lửa cũ, vui lòng tạo một tiêu chuẩn chặn mới. Đối với bất kỳ ứng dụng khách Windows nào không lưu trữ chia sẻ SMB, hãy sử dụng các chọn được đề xuất.
Tìm hiểu thêm vềCVE-2020-0796 từ Mircrosoft tại đây
Tạp chí Điện tử
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Tham gia bình luận