Lỗ hổng “wormable” (CVE-2019-0708) nằm trong phần mềm Remote Desktop Services – trước đây có tên là Terminal Services – có thể được khai thác từ xa bằng cách gửi các truy vấn đặc biệt qua giao thức RDP (Remote Desktop Protocol) đến hệ thống mục tiêu.
Những kẻ tấn công có thể khai thác lỗ hổng này để phát tán phần mềm độc hại “wormable” theo cách tương tự như phần mềm độc hại WannaCry đã lây lan trên toàn cầu năm 2017.
Microsoft cho biết lỗ hổng BlueKeep RDP cho phép xác thực trước và không yêu cầu tương tác của người dùng. Kẻ tấn công nào khai thác thành công lỗ hổng kể trên sẽ có thể thực thi mã tùy ý trên hệ thống mục tiêu.
Nếu bị khai thác, lỗ hổng này sẽ có thể cho phép kẻ tấn công dễ dàng gây ra sự tàn phá trên toàn thế giới, thậm chí tồi tệ hơn nhiều so với những gì WannaCry và NotPetya đã làm trong năm 2017.
Lỗ hổng BlueKeep RDP ảnh hưởng đến các phiên bản Windows 2003, XP, Windows 7, Windows Server 2008 và 2008 R2 và có thể tự động lan truyền trên các hệ thống không được bảo vệ.
Gần 1 triệu hệ thống máy tính Windows vẫn chứa lỗ hổng
Gần 1 triệu hệ thống máy tính Windows vẫn tồn tại lỗ hổng RCE “wormable” nghiêm trọng chưa được vá ngay cả sau khi Microsoft phát hành bản vá bảo mật mới nhất vào hai tuần trước.
Nguyên nhân đến từ việc không phải tất cả người dùng đều đã thực hiện động thái cập nhật hệ thống dẫn tới việc các lỗ hổng vẫn tiếp tục tồn tại và có thể mang tới những rủi ro cực kỳ lớn cho người dùng.
Người đứng đầu công ty nghiên cứu bảo mật tấn công Errata Security, Robert Graham đã sử dụng “rdpscan” – một công cụ quét nhanh mà ông đã xây dựng trên máy quét cổng masscan để quét toàn bộ Internet nhằm phát hiện các hệ thống vẫn có khả năng bị tấn công thông qua khai thác lỗ hổng BlueKeep.
Graham đã tìm thấy toàn bộ 7 triệu hệ thống đang hoạt động trên cổng 3399, trong đó có khoảng 1 triệu hệ thống vẫn có khả năng bị nhiễm lỗi BlueKeep do chưa cập nhật bản vá từ Microsoft.
Đương nhiên, không chỉ Graham và các nhà nghiên cứu bảo mật mà ngay cả các “hacker mũ đen” và tội phạm mạng cũng đang bắt đầu tiến hành quét Internet để tìm ra các hệ thống Windows chứa lỗ hổng có thể khai thác để thực hiện các cuộc xâm nhập và phá hoại thiết bị người dùng.
Tuy nhiên, ít nhất thì cho đến nay vẫn chưa có bất cứ nhà nghiên cứu bảo mật nào công khai mã khai thác bằng chứng khái niệm (PoC) cho BlueKeep, mặc dù một số người xác nhận hiện đã phát triển thành công các khai thác.
Ngay lúc này bạn cần làm điều gì?
Bạn cần vá lỗ hổng nguy hại này ngay lập tức.
Tuy nhiên, nếu việc khắc phục lỗ hổng trong tổ chức của bạn không thể thực hiện được sớm hơn, thì bạn có thể thực hiện các biện pháp giảm thiểu rủi ro như dưới đây:
- Vô hiệu hóa dịch vụ RDP, nếu không cần thiết.
- Chặn cổng 3389 bằng tường lửa hoặc thiết lập cài đặt chỉ có thể truy cập qua VPN riêng.
- Kích hoạt xác thực cấp độ mạng (NLA) – giảm thiểu một phần để ngăn chặn bất kỳ kẻ tấn công không được xác thực nào khai thác lỗ hổng “Wormable” này.
Thêm bình luận