Một lỗ hổng nghiêm trọng vừa được tìm thấy trên giao thức Credential Security Support Provider (CredSSP) ảnh hưởng tới tất cả các phiên bản Windows, cho phép kẻ tấn công khai thác RDP và WinRM để đánh cắp dữ liệu hoặc chạy mã độc.
Giao thức CredSSP được RDP (Remote Desktop Protocol) và WinRM (Windows Remote Management) sử dụng, chịu trách nhiệm chuyển tiếp thông tin xác thực đã được mã hóa từ Windows client tới máy chủ để xác thực từ xa.
Được các nhà nghiên cứu tại Preempt Secutiry phát hiện, lỗ hổng này (CVE-2018-0886) là lỗi logic trong CredSSP, khiến kẻ trung gian có thể dùng WiFi hoặc kết nối vật lý tới mạng để đánh cắp dữ liệu xác thực và tấn công Remote Procedure Call.
“Kẻ tấn công đánh cắp dữ liệu phiên xác thức từ người dùng có thể chạy lệnh bằng quyền admin. Điều này đặc biệt quan trọng khi kiểm soát tên miền, khi mà hầu hết Remote Procedure Call (RPC/DCE) đều được bật tự động”, Yaron Zinar, nhà nghiên cứu tại Preempt cho hay.
Vì RDP là ứng dụng phổ biến nhất để thực hiện đăng nhập từ xa và hầu hết khách hàng doanh nghiệp đều dùng RDP nên hầu hết các mạng đều có nguy cơ gặp nguy hiểm do lỗi này.
Vấn đề này đã được Preempt báo tới Microsoft vào tháng 8 năm ngoái nhưng mãi tới bản vá Patch Tuesday vừa qua - tức là gần 7 tháng sau - họ mới vá lỗ hổng này.
Các nhà nghiên cứu cũng cảnh báo rằng chỉ vá thôi là không đủ để ngăn ngừa bị tấn công, chuyên gia IT nên thay đổi 1 vài cấu hình cần thiết nữa. Chặn các cổng ứng dụng liên quan trong đó có RDP hay DCE/RPC cũng giúp giảm bớt nhưng kiểu tấn công này có thể được thực hiện bằng nhiều cách với các giao thức khác.
Do đó hơn hết là nên hạn chế dùng tài khoản quyền cấp cao nhất có thể. Bản vá Patch Tuesday tháng 3 cũng vá các phần mềm khác như Microsoft IE, Edge, Windows OS, Office, PowerShell, Core ChakraCore và Adobe Flash.
Xem thêm: