Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng trên giao thức SMB của Windows cho phép thực thi mã từ xa
Một lỗ hổng zeroday vừa được phát hiện trên giao thức SMB (Server Message Block) của Windows, có thể bị khai thác để tấn công từ chối dịch vụ DoS hoặc thực thi mã tùy ý trên hệ thống.
Theo US-CERT (Trung tâm Ứng cứu Khẩn cấp Máy tính Hoa Kỳ) – nơi đã đưa ra cảnh báo về vấn đề, lỗ hổng tồn tại trong cách thức Windows xử lý lưu lượng SMB và có thể bị khai thác từ xa cho các mục đích bất chính.
SMB (một trong các phiên bản còn được gọi là CIFS (Common Internet File System) hoạt động như một giao thức mạng lớp ứng dụng, được thiết kế nhằm cho phép các thiết bị truy cập tập tin, máy in, cổng nối và các kết nối khác giữa các node trên một mạng nội bộ. Đồng thời, giao thức cũng cung cấp một cơ chế giao tiếp liên tiến trình chứng thực.
Theo US-CERT, Windows không xử lý được các phản hồi máy chủ chứa quá nhiều byte theo sau cấu trúc được định nghĩa trong cấu trúc phản hồi SMB2 TREE_CONNECT. Vì vậy, khi một hệ thống máy khách Windows bị ảnh hưởng bởi lỗ hổng kết nối tới một máy chủ SMB độc hại, có thể bị crush (màn hình đen hay BSOD) trong mrxsmb20.sys.
Cảnh báo cũng lưu ý rằng lỗ hổng đã được xác nhận có thể bị khai thác trong các cuộc tấn công từ chối dịch vụ DoS, nhưng không nêu chi tiết khai thác thêm như thế nào. Thông qua khai thác lỗ hổng, hacker cũng có thể thực thi mã tùy ý với quyền kernel Windows.
"Chúng tôi đã xác nhận việc crash xảy ra với các thiết bị Windows 10 và Windows 8.1 có cập nhật đầy đủ. Lưu ý rằng có một số kỹ thuật có thể được sử dụng để kích hoạt một hệ thống Windows kết nối với chia sẻ SMB. Một số yêu cầu ít thậm chí là không cần tới tương tác của người dùng", cảnh báo chỉ ra.
Với mã khai thác lỗ hổng đã được công khai nhưng chưa có bản vá tính đến thời điểm hiện tại, giải pháp đề xuất bao gồm chặn các kết nối outbound SMB (cổng TCP 139 và 445 cùng các cổng UDP 137 và 138) từ mạng nội bộ tới WAN.
Lỗ hổng được các chuyên gia đánh giá 7.8 trên thang đo mức độ nghiêm trọng (theo ComputerWorld). Theo người phát hiện lỗ hổng @PythonResponder, các phiên bản Windows Server 2012 và 2016 đều bị ảnh hưởng. PoC đã được công bố trên GitHub.
Theo US-CERT (Trung tâm Ứng cứu Khẩn cấp Máy tính Hoa Kỳ) – nơi đã đưa ra cảnh báo về vấn đề, lỗ hổng tồn tại trong cách thức Windows xử lý lưu lượng SMB và có thể bị khai thác từ xa cho các mục đích bất chính.
SMB (một trong các phiên bản còn được gọi là CIFS (Common Internet File System) hoạt động như một giao thức mạng lớp ứng dụng, được thiết kế nhằm cho phép các thiết bị truy cập tập tin, máy in, cổng nối và các kết nối khác giữa các node trên một mạng nội bộ. Đồng thời, giao thức cũng cung cấp một cơ chế giao tiếp liên tiến trình chứng thực.
Theo US-CERT, Windows không xử lý được các phản hồi máy chủ chứa quá nhiều byte theo sau cấu trúc được định nghĩa trong cấu trúc phản hồi SMB2 TREE_CONNECT. Vì vậy, khi một hệ thống máy khách Windows bị ảnh hưởng bởi lỗ hổng kết nối tới một máy chủ SMB độc hại, có thể bị crush (màn hình đen hay BSOD) trong mrxsmb20.sys.
Cảnh báo cũng lưu ý rằng lỗ hổng đã được xác nhận có thể bị khai thác trong các cuộc tấn công từ chối dịch vụ DoS, nhưng không nêu chi tiết khai thác thêm như thế nào. Thông qua khai thác lỗ hổng, hacker cũng có thể thực thi mã tùy ý với quyền kernel Windows.
"Chúng tôi đã xác nhận việc crash xảy ra với các thiết bị Windows 10 và Windows 8.1 có cập nhật đầy đủ. Lưu ý rằng có một số kỹ thuật có thể được sử dụng để kích hoạt một hệ thống Windows kết nối với chia sẻ SMB. Một số yêu cầu ít thậm chí là không cần tới tương tác của người dùng", cảnh báo chỉ ra.
Với mã khai thác lỗ hổng đã được công khai nhưng chưa có bản vá tính đến thời điểm hiện tại, giải pháp đề xuất bao gồm chặn các kết nối outbound SMB (cổng TCP 139 và 445 cùng các cổng UDP 137 và 138) từ mạng nội bộ tới WAN.
Lỗ hổng được các chuyên gia đánh giá 7.8 trên thang đo mức độ nghiêm trọng (theo ComputerWorld). Theo người phát hiện lỗ hổng @PythonResponder, các phiên bản Windows Server 2012 và 2016 đều bị ảnh hưởng. PoC đã được công bố trên GitHub.
Nguồn: SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: