Lỗ hổng SMB mới ảnh hưởng trên tất cả các phiên bản Windows

windows-bugs

Các nhà nghiên cứu từ công ty bảo mật Cylance vừa tiết lộ một lỗ hổng bảo mật ảnh hưởng trên tất cả các phiên bản của Windows bao gồm cả Windows 10 sắp ra mắt cũng như những sản phẩm từ công ty lớn như Adobe, Apple, Oracle và Symantec.

Tin tặc có thể khai thác lỗ hổng “Re-Direct to SMB” nhằm chuyển hướng người dùng Windows đến máy chủ SMB độc hại và đánh cắp dữ liệu đăng nhập bảo mật. Chúng tấn công người dùng truy cập vào trang web bị xâm hại hoặc thực hiện một cuộc tấn công man-in-the-middle và chiếm quyền kiểm soát lưu lượng mạng của người dùng. “Chúng tôi đã tìm ra “Re-Direct to SMB” trong khi tìm cách khai thác một tính năng chat client cung cấp khả năng xem trước hình ảnh” – Brian Wallace, một nhà nghiên cứu của Cylance SPEAR cho biết. Khi chat client nhận một hình ảnh đến từ một URL, nó sẽ cố gắng hiển thị một thu nhỏ của hình ảnh đó. Các nhà nghiên cứu tìm ra một lỗ hổng có thể gửi một URL bắt đầu với file:// trỏ đến một file chứa mã độc trên máy chủ SMB.

Lỗ hổng này nằm trong một lỗ hổng khác phát hiện năm 1997 cho phép tin tặc đánh cắp thông tin đăng nhập người dùng thông qua Windows Server Message Block (SMB), một giao thức mạng dành cho chia sẻ file và máy in, điều khiển quản trị và xác thực domain. Lỗ hổng tồn tại hai nơi: lõi thư viện Windows API và trong cách kết nối của Windows đến SMB. Đây là lí do tại sao danh sách các ứng dụng bị ảnh hưởng là rất nhiều bao gồm Adobe Reader, Apple QuickTime, Apple iTunes Software Update, Internet Explorer 11, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamView, GitHub for Windows, PyCharm, IntelliJ IDEA, PHP Storm và Oracle JDK 8u31. Windows 10 đang trong giai đoạn thử nghiệm cũng chứa thư viện này.

Tin tặc có thể can thiệp HTTP/HTTPS request tạo ra bởi trình duyệt và ứng dụng. Ví dụ tấn công Web injection nhắm đến cập nhật ứng dụng với những quảng cáo độc hại; tấn công Man-in-the-middle và nhiều kiểu tấn công khác. Cách đơn giản nhất để chống lại lỗ hổng này là chặn cổng TCP 139 và 445 nhằm vô hiệu hóa SMB. Các doanh nghiệp có thể dùng cài đặt Group Policy để ngăn chặn bị tấn công. Lỗ hổng đã được báo cáo đến CERT tại Carnegie Mellon University.

securityweek

Bình luận

Từ khóa: