Người dùng Windows SMB nên đóng một số cổng để phòng tránh WannaCry

Hồi đầu tháng 5 năm 2017, những kẻ khủng bố tấn công buổi hòa nhạc Arianna Grande ở Manchester và thế giới đã trở thành nạn nhân của cuộc tấn công ransomware WannaCry.

WannaCry đã lây nhiễm hơn 230,000 máy tính trên 150 quốc gia. Nó khiến dịch vụ y tế của Anh đi vào bế tắc, gây tắc nghẽn mạng điện thoại ở Tây Ban Nha và tổn thất cho các tuyến đường sắt ở Đức. Nhìn chung, đây là một trong những cuộc tấn công mạng tồi tệ nhất mà thế giới phải trải qua.

Giờ đây, sau 3 tháng, những sai sót hay lỗ hổng vẫn khiến cho ransomware dễ dàng lây lan.

Không cần kĩ thuật quá cao siêu, WannaCry có thể dễ dàng lây nhiễm bằng cách sử dụng EternalBlue. Đó là một khai thác được phát triển bởi NSA của giao thức SMB (Windows Server Message Block).

Microsoft đã tạo bản vá cho hàng triệu máy tính, bao gồm cả các hệ điều hành không được hỗ trợ như Windows XP. Về mặt lý thuyết, các bản vá này đã đóng các lỗ hổng EternalBlue SMB.

• Ngăn chặn các biến thể của WannaCry bằng cách tắt cài đặt Windows 10 này
• Cách phục hồi dữ liệu bị mã hóa bởi mã độc WannaCry

Tuy nhiên, trên thực tế thì có vẻ chúng không hoạt động tốt cho lắm. Tại hội nghị DEF CON thường niên vào cuối tháng 7 vừa qua, các nhà nghiên cứu an ninh đã tìm ra một lỗ hổng bảo mật khác. Lỗ hổng này có tên SMBLoris và là một cuộc tấn công từ chối dịch vụ từ xa. Nó có thể làm sập một máy tính hoặc một máy chủ mà chỉ cần sử dụng không quá 20 dòng mã.

Microsoft cho rằng lỗ hổng này nên được tự động chặn bởi tường lửa.

Vậy làm thế nào để tự bảo vệ mình khỏi ransomware?

SMBLoris ảnh hưởng tới tất cả các dạng SMB, nghĩa là bạn phải loại bỏ SMBv1 từ hệ thống hoàn toàn. Bạn cần chặn tất cả các kết nối đến trên các cổng 445 và 139.

Bạn có thể chặn các cổng trên router nhưng có một cách dễ dàng hơn - đó là sử dụng công cụ Windows Firewall. Truy cập Control Panel > Windows Firewall > Advanced Settings, nhấp chuột phải vào Inbound Rules và chọn New Rule.

Trên màn hình tiếp theo, chọn Port, sau đó chọn Next. Bây giờ, bạn cần chọn Specific Local Ports. Nhập 445, 139 vào ô. Nhấn Next một lần nữa.

Cuối cùng, chọn Block the Connection, đặt tên cho quy tắc mới và nhấn Finish.

Nếu bạn muốn bảo vệ máy tính của mình khỏi ransomware thì hãy thực hiện các bước trên nhé!