Microsoft vừa phát hành một bản vá quan trọng để khắc phục lỗ hổng 15 năm tuổi có thể bị tin tặc khai thác để chiếm quyền điều khiển từ xa PC của người dùng chạy tất cả các phiên bản hệ điều hành Windows được hỗ trợ.
Hacker CÓ THỂ DỄ DÀNG Cướp MÁY WINDOWS CỦA BẠN
Lỗ hổng (CVE-2015-0008) có thể cho phép kẻ tấn công dễ dàng chiếm quyền điều khiển hệ thống Windows được định cấu hình miền nếu hệ thống được kết nối với mạng độc hại – không dây hoặc có dây, cho phép kẻ tấn công thực hiện nhiều tác vụ khác nhau, bao gồm, tiếp tục và cài đặt chương trình; xóa, thay đổi hoặc duyệt dữ liệu của người dùng; hoặc để tạo tài khoản mới với đầy đủ quyền của người dùng.
Tuy nhiên, lỗ hổng Jasbug không ảnh hưởng đến người dùng gia đình vì họ thường không được định cấu hình miền, nhưng lỗi này gây khó chịu lớn cho các chuyên gia CNTT, những người thường kết nối với mạng doanh nghiệp, công ty hoặc chính phủ bằng dịch vụ Active Directory.
CÁC PHIÊN BẢN WINDOWS BỊ ẢNH HƯỞNG
- WindowsVista
- cửa sổ 7
- cửa sổ 8
- Windows RT
- Windows 8.1
- WinRT 8.1
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
CÁCH JASBUG HOẠT ĐỘNG
- Đây là một ví dụ về kịch bản tấn công ‘quán cà phê’, trong đó kẻ tấn công sẽ cố gắng thực hiện các thay đổi đối với bộ chuyển đổi mạng dùng chung ở nơi công cộng và có thể hướng máy khách lưu lượng hệ thống do kẻ tấn công kiểm soát.
- Trong trường hợp này, kẻ tấn công đã quan sát lưu lượng truy cập qua bộ chuyển mạch và phát hiện ra rằng một máy cụ thể đang cố tải xuống một tệp nằm ở đường dẫn UNC: \\10.0.0.100\Share\Login.bat .
- Trên máy của kẻ tấn công, một chia sẻ được thiết lập khớp chính xác với đường dẫn UNC của tệp mà nạn nhân yêu cầu: \\*\Share\Login.bat.
- Kẻ tấn công sẽ tạo ra nội dung của Login.bat để thực thi mã độc, tùy ý trên hệ thống đích. Tùy thuộc vào dịch vụ yêu cầu Login.bat, điều này có thể được thực thi với tư cách người dùng cục bộ hoặc tài khoản HỆ THỐNG trên máy của nạn nhân.
- Sau đó, kẻ tấn công sửa đổi bảng ARP trong bộ chuyển mạch cục bộ để đảm bảo rằng lưu lượng dành cho máy chủ mục tiêu 10.0.0.100 hiện được chuyển qua máy của kẻ tấn công.
- Khi máy của nạn nhân yêu cầu tệp tiếp theo, máy của kẻ tấn công sẽ trả về phiên bản Login.bat độc hại. Kịch bản này cũng minh họa rằng cuộc tấn công này không thể được sử dụng rộng rãi trên internet – kẻ tấn công cần nhắm mục tiêu vào một hệ thống hoặc nhóm hệ thống cụ thể yêu cầu các tệp có UNC duy nhất này.
THÊM BẢN VÁ ĐỂ ÁP DỤNG
- MS15-009: Bản cập nhật vá 41 lỗ hổng được báo cáo, một lỗ hổng được tiết lộ công khai và 40 lỗ hổng được báo cáo riêng, trong Internet Explorer ảnh hưởng đến tất cả các phiên bản của trình duyệt từ phiên bản 6 trở lên trên tất cả các hệ điều hành.
- MS15-010: Bản cập nhật bảo mật này vá sáu lỗ hổng, một lỗ hổng được tiết lộ công khai và lỗ hổng còn lại được báo cáo riêng tư, trong Windows 7 trở lên và phần mềm máy chủ sau phiên bản Windows Server 2008 R2 trở lên. Các lỗ hổng này là do cách một thành phần cấp nhân Windows xử lý các phông chữ TrueType.
Sáu bản vá còn lại trong bản cập nhật Patch tháng 2 của Microsoft đều được Redmond đánh giá là “quan trọng”. Hai lỗ hổng trong Microsoft Office có thể cho phép bỏ qua RCE và tính năng bảo mật, cũng như các lỗi trong Windows có thể cho phép nâng cao đặc quyền, bỏ qua tính năng bảo mật và tiết lộ thông tin. Ngoài ra, một lỗ hổng bảo mật trong Trình quản lý Máy ảo (VMM) có thể cấp cho kẻ tấn công các đặc quyền nâng cao.
