Chính phủ Hoa Kỳ đang phải đối mặt với một vấn đề lớn liên quan đến bảo mật máy chủ. Cơ quan An ninh mạng và Cơ sở hạ tầng thuộc Bộ An ninh Nội địa Hoa Kỳ (CISA) vừa ban hành một chỉ thị khẩn cấp kêu gọi các cơ quan chính phủ cài đặt bản vá cho lỗ hổng bảo mật Windows Server “nghiêm trọng” được gọi là Zerologon.
Zerologon là một lỗ hổng tồn tại trong sơ đồ xác thực mật mã được sử dụng bởi giao thức Netlogon Remote Protocol. Nếu bị lạm dụng, nó có thể mở đường cho phép cho phép kẻ tấn công mạo danh bất kỳ máy tính nào, bao gồm chính Domain Controller, sau đó chiếm quyền truy cập các dịch vụ Active Directory trên hệ thống mạng mà không cần phải đăng nhập, cũng như thực hiện các lệnh gọi thủ tục từ xa.
Cụ thể hơn, bằng cách giả mạo mã thông báo xác thực cho chức năng Netlogon cụ thể, tin tặc có thể gọi một hàm để đặt mật khẩu của Domain Controller thành một giá trị đã biết. Sau đó, chúng có thể sử dụng mật khẩu mới này để chiếm quyền kiểm soát Domain Controller và lấy cắp thông tin đăng nhập của quản trị viên miền.
CISA hiện đang đưa ra cảnh báo về những hậu quả nghiêm trọng, tính khả dụng của các hoạt động khai thác “trong tự nhiên” và sự phổ biến tuyệt đối của các máy chủ Windows dễ bị tấn công đóng vai trò là Domain Controller. Về cơ bản, Zerologon ảnh hưởng đến các hệ thống chạy Windows Server 2008 R2 trở lên, bao gồm cả những hệ thống gần đây sử dụng phiên bản Server dựa trên Windows 10.
Chỉ thị khẩn cấp 20-04 đã được CISA đã ban hành, hướng dẫn các cơ quan chính quyền dân sự liên bang áp dụng bản cập nhật bảo mật Windows Servers tháng 8 năm 2020 (August 2020 security update - CVE-2020-1472) của Microsoft dành cho tất cả các Domain Controller. Việc cài đặt bản vá phải thực hiện xong trong tháng 9.
Mặc dù cảnh báo của CISA được đưa ra cho các cơ quan chính phủ Hoa Kỳ, nhưng về cơ bản đây cùng là cũng là lời cảnh báo cho các công ty tư nhân đang phụ thuộc vào máy chủ Windows và Active Directory. Nếu kẻ xâm nhập khai thác thành công lỗ hổng này, chúng sẽ có quyền kiểm soát hệ thống mạng một cách hiệu quả, từ đó phát tán phần mềm độc hại, ăn cắp dữ liệu hoặc gây những sự cố nghiêm trọng. Không ít công ty đã phải chịu thiệt hại lớn do phần mềm độc hại trong năm nay, và xu hướng đó có thể tiếp tục nếu họ không kịp thời tự bảo vệ mình trước những rủi ro như Zerologon.