Microsoft phát hành bản cập nhật CVE-2020-0796 khẩn cấp để vá lỗ hổng nguy hiểm ngày 13/3
Windows SMBv3 Client/Server Remote Code Execution Vulnerability là lỗ hổng thực thi mã từ xa tồn tại theo cách mà giao thức Microsoft Server Message Block 3.1.1 (SMBv3) xử lý một số yêu cầu nhất định. Kẻ tấn công khai thác thành công lỗ hổng có thể có được khả năng thực thi mã trên máy chủ hoặc máy khách (Client) cuối.
- Microsoft khuyến cáo về lỗ hổng nghiêm trọng trên hệ điều hành Windows
- Microsoft chính thức nói lời "chia tay" Windows 7 trong những ngày cuối năm 2019
- NCOVI đã có trên Appstore để mỗi người dân cùng chống dịch với đất nước
Theo Microsoft Để khai thác lỗ hổng chống lại máy chủ, kẻ tấn công gửi một gói dữ liệu độc hại tới máy chủ SMBv3. Để tấn công người dùng, hacker sẽ cấu hình một máy chủ SMBv3 từ gói tin chứa mã độc đó và thuyết phục người dùng kết nối tới server đó.
SMB (Server Message Block) chạy trên cổng 445, là một giao thức mạng hỗ trợ việc chia sẻ file, duyệt mạng, in và giao tiếp qua mạng.
Lỗ hổng bắt nguồn từ cách thức SMBv3 xử lý các truy vấn của tính năng nén dữ liệu phần header (compression header), cho phép kẻ tấn công từ xa có thể thực thi mã độc trên máy chủ hoặc máy khách với đặc quyền trên cả Hệ thống.
Compression header là một tính năng bổ sung vào giao thức bị ảnh hưởng của các hệ điều hành Windows 10 và Windows Server từ tháng 5/2019, dùng để nén các thư trao đổi giữa máy chủ và máy khách.
Với thông báo của Microsoft sẽ ngừng phát hành các bản vá cho các lỗ hổng trên Windows 7 sau ngày 14/1 thì số lượng người dùng chuyển đổi sang Windows 10 là nguồn tài nguyên lớn của các tin tặc hiện tại.
Bản vá lỗi CVE-2020-0796 là bản vá lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản hệ điều hành như trang Microsoft liệt kê:
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Cách phòng chống CVE-2020-0796
Mặc dù chưa có sự ghi nhận đáng tiếc nào xảy ra về việc khai thác qua lỗ hổng SMBv3 được phát hiện bị khai thác, nhưng chúng ta nên thực hiện các biện pháp "phòng hơn chống" để giảm thiểu tối đa rủi ro nhất có thể. Hiện tại Microsoft đã tung ra bản vá cập nhật bảo mật để khắc phục tất cả thông tin về lỗ hổng này, hãy cập nhật bản vá lỗi càng sớm càng tốt.
Vì lý do gì đó mà hệ điều hành của bạn chưa thể cập nhật được bản vá lỗi CVE-2020-0796 này, thì bạn có thể vô hiệu hóa SMBv3 và chặn cổng 445 TCP trên máy tính cá nhân (Client) bằng cách sử dụng tường lửa ngay trên máy của bạn để chặn các cuộc tấn công nhằm khai thác lỗ hổng.
Nếu bạn sử dụng máy chủ thì khi chặn cổng này sẽ giúp tránh bị khai thác lỗ hổng cho hệ thống các máy Client khỏi các cuộc khai thác lỗ hổng này. Chặn các cổng ở toàn phạm vi sẽ giúp bảo vệ mạng khỏi các cuộc tấn công từ bên ngoài, và nó cũng là cách giúp phòng chống tốt nhất dựa trên các cuộc tấn công từ internet.
Tuy nhiên, các hệ thống vẫn có thể bị tấn công từ bên trong bạn cũng nên tạo một quy tắc chặn mới để ghi đè lên quy tắc tường lửa trước đây. Sử dụng các thiết đặt được đề xuất cho bất kỳ ứng dụng khách Windows không lưu trữ chia sẻ SMB.
Xem thông tin chi tiết về CVE-2020-0796 từ Mircrosoft tại đây
Theo Tạp chí Điện tử
Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết
Gửi bình luận