Phát hiện lỗ hổng CredSSP trong Remote Desktop Protocol của Windows

Một lỗ hổng nghiêm trọng đã được phát hiện trong giao thức Credential Security Support Provider (CredSSP). Lỗ hổng CredSSP này gây ảnh hưởng trực tiếp đến tất cả các phiên bản hệ điều hành Windows và cho phép attacker khai thác RDP và WinRM từ xa để ăn cắp dữ liệu và chạy mã độc hại.

Giao thức CredSSP được thiết kế để sử dụng bởi RDP (Remote Desktop Protocol) và Windows Remote Management (WinRM) nhằm đảm bảo việc chuyển tiếp các thông tin được mã hoá từ khách hàng của Windows sang các máy chủ với mục đích xác thực từ xa.

CVE-2018-0886 được phát hiện bởi các nhà nghiên cứu tại công ty Cybersecurity Preempt Security là một lỗ hổng mật mã trong CredSSP. Nó có thể được khai thác bởi attacker sử dụng phương thức tấn công man-in-the-middle, thông qua Wi-Fi hoặc truy cập vật lý vào mạng để lấy cắp dữ liệu xác thực người dùng hoặc thực hiện một cuộc tấn công Remote Procedure Call (tạm dịch là tấn công cuộc gọi thủ tục từ xa).

Khi khách hàng và máy chủ xác thực qua kết nối RDP và WinRM, attacker sử dụng phương thức tấn công man-in-the-middle có thể thực hiện các lệnh từ xa để xâm nhập vào các mạng doanh nghiệp.

Yaron Zinar-nhà nghiên cứu bảo mật hàng đầu của Preempt, nhận định rằng: “Nếu attacker đánh cắp một phiên làm việc của người dùng có đủ đặc quyền thì hắn có thể chạy các lệnh khác nhau với đặc quyền quản trị cục bộ. Điều này đặc biệt quan trọng, nhất là đối với bộ điều khiển miền, nơi mà hầu hết các cuộc gọi thủ tục từ xa (DCE / RPC) được kích hoạt mặc định”

“Điều này khiến cho các doanh nghiệp khó có thể phòng bị trước các mối đe dọa tiềm tàng từ attacker bao gồm cả việc attacker di chuyển và lây nhiễm mã độc sang các máy chủ quan trọng hoặc các bộ điều khiển miền của doanh nghiệp.”

Quá trình tấn công thông qual lỗ hổng CredSSP
Quá trình tấn công thông qua lỗ hổng CredSSP

Vì RDP là ứng dụng phổ biến nhất để thực hiện việc đăng nhập từ xa nên hầu hết khách hàng của các doanh nghiệp cũng đang sử dụng RDP. Điều này khiến cho các mạng dễ bị ảnh hưởng bởi sự cố bảo mật này.

Các nhà nghiên cứu đã phát hiện và báo cáo lỗ hổng thực hiên mã từ xa tương tự lỗ hổng CredSSP với Microsoft vào tháng 8 năm ngoái, nhưng “gã khổng lồ công nghệ” này đã đưa ra bản sửa lỗi cho giao thức hiện tại như là một phần của bản Patch Tuesday – gần như sau 7 tháng kể từ lúc báo cáo.

Để bảo vệ bản thân và tổ chức của bạn khỏi sự khai thác của attacker thông qua lỗ hổng CredSSP, người dùng được khuyến khích vá các máy trạm và máy chủ của họ bằng các bản cập nhật có sẵn từ Microsoft.

Các nhà nghiên cứu cũng cảnh báo rằng chỉ vá không thôi thì chưa đủ để ngăn chặn cuộc tấn công này, nên các chuyên gia IT cũng được yêu cầu phải tạo ra một số cấu hình để hỗ trợ và bảo vệ bên cạnh bản vá.

Chặn các cổng ứng dụng có liên quan bao gồm cả RDP và DCE/RPC cũng có thể cản trở cuộc tấn công, nhưng các nhà nghiên cứu nói rằng cuộc tấn công này có thể được thực hiện bằng nhiều cách với các giao thức khác nhau.

Do đó, để bảo vệ mạng tốt hơn, bạn nên giảm tối đa việc sử dụng tài khoản đặc quyền càng nhiều càng tốt và thay vào đó hãy sử dụng các tài khoản không đặc quyền khi có thể.

Bên cạnh đó, Microsoft cũng đã phát hành các bản vá lỗi bảo mật cho các sản phẩm khác dựa trên nên tảng bản Patch Tuesday, trong đó bao gồm Microsoft IE và trình duyệt Edge, Windows OS, Microsoft Office, PowerShell, Core ChakraCore, và Adobe Flash player.

Theo securitydaily.net

Comments