Lỗ hổng LSASS trong Windows vẫn tiếp tục bị khai thác

Mặc dù Microsoft đã cho ban hành bản sửa lỗi để bịt lỗ hổng LSASS trong Windows, nhưng sự xuất hiện của 3 phiên bản sâu Korgo mới đã chứng tỏ rằng không phải tất cả các hệ thống đã được cập nhật bản patch sửa lỗi.

Sâu Korgo đã bắt đầu xuất hiện từ giữa tuần trước với 3 phiên bản: Korgo.a, Korgo.b, và Korgo.c, với chức năng quét các hệ thống chưa được áp dụng bản sửa lỗi. Korgo không phát tán theo con đường e-mail và khi lây nhiễm vào hệ thống, chúng sẽ mở một "cổng sau" (backdoor), cho phép kẻ tấn công có thể kết nối tới máy tính nạn nhân.

Theo hãng bảo mật Phần Lan F-Secure, Korgo (còn có tên khác là Padobot), lựa chọn các địa chỉ IP từ nhiều hệ thống máy tính ngẫu nhiên để lây nhiễm và tấn công với các thức khai thác lỗ hổng LSASS tương tự như sâu Sasser.

Korgo mở các cổng TCP: 113, 445, 2041, 3067, và 6667 để kết nối tới các máy chủ IRC chờ nhận lệnh và nhận dữ liệu truyền tới. Trong trường hợp khai thác thành công, sâu có thể cho phép tin tặc điều khiển hoàn toàn hệ thống máy tính nạn nhân.

Mặc dù tốc độ phát tán của Korgo không nhanh nhưng các hãng bảo mật vẫn khuyến cáo người dùng nên nhanh chóng cập nhật bản patch bịt lỗ hổng LSASS cho Windows NT, 2000, XP, và Windows Server 2003 bằng chức năng Windows Update hoặc từ website của Microsoft.