Chuẩn bị tinh thần cho một ‘làn sóng thứ hai’ có thể xảy ra của cuộc tấn công mạng quy mô lớn trên toàn cầu, vì SMB (Khối tin nhắn máy chủ) không phải là giao thức mạng duy nhất có các khai thác zero-day do NSA tạo ra đã bị lộ trong bản kết xuất của Shadow Brokers vào tháng trước.
Mặc dù Microsoft đã phát hành các bản vá lỗ hổng SMB cho các phiên bản được hỗ trợ vào tháng 3 và các phiên bản không được hỗ trợ ngay sau khi mã độc tống tiền WannaCry bùng phát, công ty đã bỏ qua để vá ba công cụ hack khác của NSA, được đặt tên là “Người AnhNha sĩ“”EsteemAudit,” Và “Nổ Có Thể.”
Đã gần hai tuần kể từ khi mã độc tống tiền WannaCry bắt đầu lây lan, lây nhiễm gần 300.000 máy tính tại hơn 150 quốc gia chỉ trong vòng 72 giờ, mặc dù hiện tại nó đã bị làm chậm lại.
Đối với những người không biết, WannaCry đã khai thác lỗi SMB zero-day của Windows cho phép tin tặc từ xa chiếm quyền điều khiển các PC chạy trên HĐH Windows chưa được vá và sau đó tự lây lan sang các hệ thống chưa được vá khác bằng khả năng có thể đọc sâu của nó.
Danh mục bài viết
EsteemAudit: Hơn 24.000 PC vẫn dễ bị tấn công
EsteemAudit là một công cụ hack Windows nguy hiểm khác do NSA phát triển bị rò rỉ bởi Shadow Brokers nhằm vào dịch vụ RDP (cổng 3389) trên các máy Microsoft Windows Server 2003 / Windows XP.
Do Microsoft không còn hỗ trợ Windows Server 2003 và Windows XP và không giống như EternalBlue, công ty đã không phát hành bất kỳ bản vá khẩn cấp nào cho việc khai thác EsteemAudit cho đến nay, hơn 24.000 hệ thống dễ bị tổn thương vẫn bị lộ trên Internet cho bất kỳ ai hack.
“Ngay cả một máy bị nhiễm cũng mở ra cho doanh nghiệp của bạn khả năng khai thác lớn hơn,” Omri Misgav và Tal Liberman, các nhà nghiên cứu bảo mật tại công ty bảo mật mạng Ensilo, những người đã nghĩ ra cuộc tấn công AtomBombing năm ngoái và hiện đã phát hành một bản vá không chính thức cho EsteemAudit, mà chúng tôi đã giới thiệu ở phần sau của bài viết này.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
EsteemAudit cũng có thể được sử dụng như một phần mềm độc hại có thể đọc sâu, tương tự như mã độc tống tiền WannaCry, cho phép tin tặc lan truyền trong mạng doanh nghiệp, khiến hàng nghìn hệ thống dễ bị tấn công bởi mã độc tống tiền, gián điệp và các cuộc tấn công độc hại khác.
Các tác giả của ransomware, chẳng hạn như bọn tội phạm đứng sau CrySiS, Dharma và SamSam, những kẻ đã lây nhiễm máy tính thông qua giao thức RDP bằng cách sử dụng các cuộc tấn công vũ phu, có thể tận dụng EsteemAudit bất cứ lúc nào để thực hiện các cuộc tấn công lan rộng và gây thiệt hại như WannaCry.
Làm thế nào để bảo mật máy tính của bạn?
Do sự tàn phá do WannaCry gây ra, dịch vụ SMB đã thu hút được mọi sự chú ý, bỏ qua RDP.
“Các hệ thống dựa trên Windows XP hiện chiếm hơn 7% hệ điều hành máy tính để bàn vẫn được sử dụng ngày nay và ngành an ninh mạng ước tính rằng hơn 600.000 máy tính truy cập web, lưu trữ hơn 175 triệu trang web, vẫn chạy Windows Server 2003 chiếm khoảng 18% thị phần toàn cầu,” các nhà nghiên cứu cho biết.
Do Microsoft chưa phát hành bất kỳ bản vá nào cho lỗ hổng này nên người dùng và doanh nghiệp nên nâng cấp hệ thống của mình lên phiên bản cao hơn để tự bảo vệ mình khỏi các cuộc tấn công của EsteenAudit.
“Trong số ba lỗ hổng còn lại, “EnglishmanDentist”, “EsteemAudit” và “ExplodingCan”, không lỗ hổng nào sao chép trên các nền tảng được hỗ trợ, điều đó có nghĩa là khách hàng đang chạy Windows 7 và các phiên bản Windows mới hơn hoặc Exchange 2010 và các phiên bản Exchange mới hơn không rủi ro,” Microsoft nói.
Nếu doanh nghiệp của bạn khó nâng cấp hệ thống của họ ngay lập tức, thì tốt nhất là họ nên bảo mật cổng RDP của mình bằng cách vô hiệu hóa hoặc đặt cổng sau tường lửa.
Trong khi đó, enSilo đã phát hành một bản vá để giúp người dùng Windows XP và Server 2003 bảo vệ máy của họ khỏi EsteemAudit. Bạn có thể áp dụng bản vá để bảo mật hệ thống của mình, nhưng hãy nhớ rằng đây không phải là bản vá chính thức của Microsoft.
Nếu bạn có bất kỳ nghi ngờ gì về bản vá, thì enSilo là một công ty an ninh mạng có uy tín, mặc dù tôi hy vọng Microsoft sẽ phát hành bản vá chính thức trước bất kỳ sự phản đối kịch liệt nào như của WannaCry.
