Cài ngay bản vá cho Windows Server & Windows 10 chạy IIS để không bị tấn công DOS

Mới đây, Microsoft đã đăng tải một thông điệp khuyến cáo liên quan đến vấn đề bảo mật trên trung tâm phản hồi bảo mật (Security Response Center) của mình, với nội dung liên quan đến việc các máy chủ Windows Server và Windows 10 đang chạy Internet Information Services (IIS) dễ dàng trở thành mục tiêu của các cuộc tấn công từ chối dịch vụ (DOS).

Nói một cách chính xác hơn, tất cả các máy chủ IIS chạy Windows Server 2016, Windows Server Phiên bản 1709, Windows Server Phiên bản 1803, cũng như Windows 10 (phiên bản 1607, 1703, 1709 và 1803) đều bị ảnh hưởng bởi sự cố DoS này.

Lỗ hổng được mô tả trong khuyến cáo bảo mật ADV190005 của Microsoft cho phép kẻ tấn công tiềm năng từ xa có thể kích hoạt tình trạng DoS bằng cách tận dụng lỗi cạn kiệt tài nguyên IIS, tức là nó "có thể tạm thời khiến việc sử dụng CPU hệ thống tăng đột biến lên 100%, ít nhất là cho đến khi các kết nối độc hại thực sự được loại bỏ hoàn toàn bằng IIS”.

Các tác nhân độc hại này có thể khởi chạy những cuộc tấn công DoS chống lại các máy chủ Windows dễ bị tổn thương bằng cách gửi nhiều yêu cầu HTTP/2 được tạo theo cách thủ công.

• Sử dụng mật khẩu Windows NTLM 8 ký tự? Xin chúc mừng, mật khẩu của bạn có thể bị bẻ khóa chỉ sau 2.5 giờ

Microsoft cũng đưa ra lời khuyên rằng không hề có sự giảm thiểu hay giải pháp nào cho lỗ hổng đã được báo cáo bởi Gal Goldshtein của F5 Networks này, và họ khuyến nghị tất cả người dùng nên cài đặt các bản cập nhật February không bảo mật được liệt kê trong bảng bên dưới như sau:

Chi tiết được nêu trong khuyến cáo bảo mật ADV190005 của Microsoft như sau:

"HTTP/2 cho phép máy khách chỉ định bất kỳ số lượng khung SETTINGS nào với bất kỳ số lượng tham số SETTINGS nào. Tuy nhiên trong một số trường hợp, việc cài đặt quá mức có thể khiến các dịch vụ trở nên không ổn định và do đó dẫn đến việc sử dụng CPU tạm thời tăng đột biến cho đến khi thời gian kết nối hết và kết nối bị đóng".

Như một biện pháp cải thiện tình hình, nhóm bảo mật của Redmond "đã thêm khả năng xác định ngưỡng về số lượng SETTINGS HTTP/2 có trong yêu cầu", các mức ngưỡng phải được quản trị viên IIS thiết lập sau khi đánh giá môi trường và HTTP/2 trên hệ thống của họ yêu cầu giao thức, vì chúng sẽ không được cấu hình trước bởi Microsoft.

• Lỗ hổng trong MySQL cho phép các máy chủ độc hại đánh cắp dữ liệu từ khách hàng

Để đặt các giới hạn này, Microsoft đã bổ sung thêm những mục registry sau vào các bản phát hành Windows 10 dễ bị tổn thương:

Đường dẫn:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

Tên: Http2MaxSinstallPerFrame

Loại: DWORD

Dữ liệu: Giá trị tối thiểu được hỗ trợ là 7 và tối đa 2796202. Giá trị ngoài phạm vi được cắt theo giá trị cuối tối thiểu/tối đa tương ứng.

Đường dẫn:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

Tên: Http2MaxSettingsPerMinute

Loại: DWORD

Dữ liệu: Giá trị tối thiểu được hỗ trợ là 7. Giá trị nhỏ hơn được cắt theo giá trị tối thiểu.

Sau khi các ngưỡng được đặt trên hệ thống Windows chạy IIS, các kết nối sẽ bị hủy ngay lập tức nếu:

• Nếu một khung Setting duy nhất chứa nhiều tham số cài đặt hơn giá trị "Http2MaxSinstallPerFrame".
• Nếu số lượng tham số cài đặt có trong nhiều khung Setting nhận được trong vòng một phút vượt qua giá trị "Http2MaxSinstallPerMinute".

Bên cạnh đó, theo Microsoft thì cũng cần lưu ý rằng bạn có thể sẽ phải khởi động lại dịch vụ hoặc khởi động lại máy chủ để các giá trị đăng ký mới thêm vào có thể được đọc.

• Microsoft bắt tay với VirusTotal trong việc giải quyết các vấn đề về mã độc gây ảnh hưởng đến tệp MSI

Các máy chủ Windows đang chạy đã bị kẻ tấn công khai thác trước đó với sự trợ giúp của zero-day trong IIS 6.0 sẽ gây ảnh hưởng đến dịch vụ WebDAV theo mặc định trong tất cả các bản phân phối IIS, từ tháng 7 năm 2016 đến tháng 3 năm 2017.