Một lỗ hổng nghiêm trọng vừa được phát hiện trong giao thức Credential Security Support Provider (CredSSP) ảnh hưởng đến mọi phiên bản Windows tính đến hiện tại và cho phép kẻ tấn công từ xa khai thác RDP và WinRM để đánh cắp dữ liệu và thực thi các mã độc hại.
Giao thức CredSSP được thiết kế dành cho RDP (Remote Desktop Protocol) và Windows Management (WinRM) để quản lý các tài khoản được mã hóa khi gửi từ Windows client tới máy chủ để xác thực từ xa.
Được phát hiện bởi các nhà nghiên cứu tại công ty Preempt Security, CVE-2018-0886 nằm trong lỗ hổng mã hóa của CredSSP, có thể bị khai thác bởi kẻ tấn công man-in-the-middle thông qua WiFi hoặc truy cập vật lý vào mạng dây để đánh cắp dữ liệu xác thực phiên và thực hiện tấn công Remote Procedure Call.
Khi client và server xác thực thông qua các giao thức truyền thông RDP và WinRM, kẻ tấn công man-in-the-middle có thể thực thi các câu lệnh từ xa để xâm nhập vào mạng của doanh nghiệp.
“Khi kẻ tấn công đánh cắp phiên từ một người dùng có đủ đặc quyền, hắn có thể thực thi các lệnh với quyền admin. Điều này đặc biệt nghiêm trọng đối với các bộ điều khiển miền, do hầu hết các Lời gọi thủ tục từ xa (Remote Procedure Calls – DCE/RPC) đều được bật theo mặc định,” theo Yaron Zinar, trưởng nhóm nghiên cứu bảo mật tại Preempt.
“Điều này có thể khiến cho các doanh nghiệp phải đối mặt với nhiều nguy cơ, bao gồm chuyển hướng và xâm nhập các máy chủ quan trọng hoặc các bộ điều khiển miền.”
Lỗ hổng khiến cho các hệ thống mạng doanh nghiệp gặp nguy cơ lớn bởi hầu hết khách hàng và nhân viên đều sử dụng RDP để đăng nhập từ xa.
Để bảo vệ bản thân và tổ chức khỏi các khai thác CredSSP, người dùng được khuyến cáo cập nhật bản vá mới nhất từ Microsoft.
Mặc dù các nhà nghiên cứu cũng cảnh báo rằng chỉ cập nhật bản vá là chưa đủ để phòng chống dạng tấn công này, các chuyên gia IT cần phải thực hiện cấu hình hệ thống để áp dụng bản vá một cách tối ưu nhất.
Chặn các cổng liên quan bao gồm RDP và DCE/RPC cũng có thể ngăn chặn cuộc tấn công, nhưng các nhà nghiên cứu cho biết vẫn có thể thực hiện dạng tấn công này theo nhiều cách khác, sử dụng các giao thức khác.
Vì thế, để bảo vệ mạng của bạn một cách tốt nhất, hãy giảm các đặc quyền của người dùng xuống càng thấp càng tốt và thay vào đó, hãy dùng các tài khoản không được cấp quyền khi có thể.
(Theo: thehackernews.com)
Hướng dẫn sửa lỗi:
iện tượng một số quản trị viên không remote được vào máy chủ windows server (2008, 2012, 2016). Nguyên nhân do hệ thống máy chủ và máy trạm (Laptop, PC – Windows 7, 8,10) không cập nhật đồng thời bản vá lỗ hổng CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (Nếu máy chủ cập nhật thì máy trạm cũng phải cập nhật hoặc ngược lại).
Vì vậy, khuyến nghị Qúy khách hàng đang chạy Hệ điều hành windows server nếu gặp hiện tượng không remote được máy chủ. Vui lòng kiểm tra và xử lý như sau:
- Kiểm tra trên máy chủ nếu có bản vá lỗ hổng CVE-2018-0886 thì cập nhật tương tự trên máy trạm.
- Nếu máy chủ chưa có bản vá thì lựa chọn cập nhật bản vá CVE-2018-0886 hoặc xóa bản vá lỗ hổng CVE-2018-0886 từ máy trạm.
- Thông tin mã bản vá tương ứng OS: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
Trân trọng,
Friday, May 11, 2018
