Cuối tuần trước, một nhà nghiên cứu bảo mật đã tiết lộ công khai lỗ hổng zero-day trong các phiên bản Windows 10, Windows 8.1 và Server sau khi Microsoft không thể vá lỗ hổng này trong ba tháng qua.
Lỗ hổng hỏng bộ nhớ zero-day nằm trong quá trình triển khai giao thức chia sẻ tệp mạng SMB (khối tin nhắn máy chủ). Giao thức này có thể cho phép kẻ tấn công từ xa, không được xác thực tấn công hệ thống bằng tấn công từ chối dịch vụ, sau đó sẽ mở ra nhiều cuộc tấn công có thể xảy ra hơn.
Theo US-CERT, lỗ hổng này cũng có thể bị khai thác để thực thi mã tùy ý với các đặc quyền của nhân Windows trên các hệ thống dễ bị tấn công, nhưng điều này hiện chưa được Microsoft xác nhận.
Không tiết lộ phạm vi thực tế của lỗ hổng và loại mối đe dọa mà việc khai thác gây ra, Microsoft chỉ hạ thấp mức độ nghiêm trọng của vấn đề, cho biết:
“Windows là nền tảng duy nhất có cam kết với khách hàng về việc điều tra các sự cố bảo mật được báo cáo và chủ động cập nhật các thiết bị bị ảnh hưởng ngay khi có thể. Chúng tôi khuyên khách hàng nên sử dụng Windows 10 và trình duyệt Microsoft Edge để được bảo vệ tốt nhất.”
Tuy nhiên, mã khai thác bằng chứng khái niệm, Win10.py, đã được phát hành công khai cho Windows 10 bởi nhà nghiên cứu bảo mật Laurent Gaffie và không yêu cầu mục tiêu sử dụng trình duyệt.
Lỗ hổng hỏng bộ nhớ nằm trong cách Windows xử lý lưu lượng SMB có thể bị kẻ tấn công khai thác; tất cả những gì họ cần là lừa nạn nhân kết nối với máy chủ SMB độc hại, điều này có thể dễ dàng thực hiện bằng các thủ thuật kỹ thuật xã hội thông minh.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
“Cụ thể, Windows không thể xử lý đúng phản hồi của máy chủ chứa quá nhiều byte theo cấu trúc được xác định trong cấu trúc Phản hồi SMB2 TREE_CONNECT,” CERT cho biết trong lời khuyên.
“Bằng cách kết nối với máy chủ SMB độc hại, hệ thống máy khách Windows dễ bị tổn thương có thể gặp sự cố (BSOD) trong mrxsmb20.sys.”
Vì mã khai thác hiện được cung cấp công khai cho mọi người và không có bản vá chính thức nào từ Microsoft nên tất cả người dùng Windows đều có thể bị tấn công tiềm ẩn vào thời điểm này.
Cho đến khi Microsoft vá lỗ hổng hỏng bộ nhớ (rất có thể là trong bản cập nhật Windows sắp tới hoặc bản vá ngoài dải), người dùng Windows có thể tạm thời khắc phục sự cố bằng cách chặn các kết nối SMB gửi đi (cổng TCP 139 và 445 và cổng UDP 137 và 138) từ mạng cục bộ vào mạng WAN.
Lỗ hổng đã được cho điểm Hệ thống chấm điểm lỗ hổng chung (CVSS) là 7,8. Mã chứng minh khái niệm đã được xuất bản trên GitHub.
