Theo đó, ngày 11/07/2017, Microsoft cập nhập thông tin về lỗ hổng cho phép thực thi mã lệnh từ xa nằm trong tiện ích tìm kiếm trên các máy tính chạy hệ điều hành Windows, khi khai thác thành công lỗ hổng này kẻ tấn công có thể kiểm soát được hệ thống, sau đó kẻ tấn công có thể cài đặt các phần mềm độc hại; có thể xem, thay đổi hoặc xóa dữ liệu trên máy tính bị tấn công; hoặc tạo thêm một tài khoản mới với đầy đủ quyền của người sử dụng.
Lợi dụng việc các máy tính mở cổng dịch vụ SMB (dịch vụ chia sẻ file qua mạng trên các máy tính chạy hệ điều hành windows, và thường được bật mặc định khi cài đặt hệ điều hành), kẻ tấn công có thể gửi thông điệp giả mạo tới tiện ích Windows Search thông qua dịch vụ SMB.
Nếu các máy tính bị tấn công chưa được cập nhật bản vá lỗ hổng windows search (CVE-2017-8589) kẻ tấn công có thể dễ dàng thực thi mã lệnh từ xa, sau đó tấn công leo thang và chiếm quyền điều khiển hệ thống đích. Khi một máy trong hệ thống mạng bị tấn công, việc thực hiện tấn công sang máy tính khác là rất dễ dàng thông qua dịch vụ SMB.
Thời gian vừa qua, đã có nhiều cuộc tấn công lợi dụng cơ chế chia sẻ file của dịch vụ SMB, ví dụ như các cuộc tấn công sử dụng phần mềm độc hại tống tiền Wannacry, Petya. Các cơ quan chức năng cũng đã có nhiều cảnh báo và khuyến nghị về việc này.
Tuy nhiên, theo số liệu thống kê ngày 12/7/2017 từ hệ thống của Cục An toàn thông tin, tại Việt Nam có ít nhất 4062 IP vẫn đang mở cổng dịch vụ SMB (port 445) trên mạng internet.
Nhằm đảm bảo an toàn thông tin và giảm thiểu tối đa nguy cơ tấn công mạng nguy hiểm, Sở Thông tin và Truyền thông đề nghị các Sở, ngành tỉnh, UBND các huyện, thành phố kiểm tra và cập nhật bản vá cho các máy tính của người dùng tại cơ quan, đơn vị. Bật chức năng tự động cập nhật bản vá cho hệ điều hành (chi tiết biện pháp kỹ thuật tham khảo tại website https://sotttt.tayninh.gov.vn). Khuyến khích người dùng thường xuyên theo dõi các thông tin về an toàn thông tin trên các trang thông tin điện tử hoặc tại Cổng thông tin điện tử của Sở Thông tin và Truyền thông (https://sotttt.tayninh.gov.vn).
Thông tin về bảng vá lỗi cho Hệ điều hành tại địa chỉ: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8589
Liên hệ ngay Sở Thông tin và Truyền thông khi có sự cố liên quan đến an toàn thông tin thông qua đường dây nóng (0276) 3611169 hoặc thư điện tử: hotro@tayninh.gov.vn để được phối hợp, hỗ trợ xử lý.
Phụ lục kèm theo hướng dẫn chi tiết.
Cảnh báo lỗ hổng nghiêm trọng trong tiện ích tìm kiếm trên hệ điều hành Windows (Windows Search) cho phép tấn công chiếm quyền điều khiển
1. Thông tin chung
- Mức độ: Nghiêm trọng
- Mã lỗi quốc tế: CVE-2017-8589
- Ảnh hưởng: Windows 7, Windows 8, Windows 10, Windows Server: 2008, 2012, 2016
Ngày 11/07/2017, Microsoft cập nhập thông tin về lỗ hổng cho phép thực thi mã lệnh từ xa nằm trong tiện ích tìm kiếm trên các máy tính chạy hệ điều hành Windows, khi khai thác thành công lỗ hổng này kẻ tấn công có thể kiểm soát được hệ thống, sau đó kẻ tấn công có thể cài đặt các phần mềm độc hại; có thể xem, thay đổi hoặc xóa dữ liệu trên máy tính bị tấn công; hoặc tạo thêm một tài khoản mới với đầy đủ quyền của người sử dụng.
Tiện ích Windows Search trên Windows.
Lợi dụng việc các máy tính mở cổng dịch vụ SMB (dịch vụ chia sẻ file qua mạng trên các máy tính chạy hệ điều hành windows, và thường được bật mặc định khi cài đặt hệ điều hành), kẻ tấn công có thể gửi thông điệp giả mạo tới tiện ích Windows Search thông qua dịch vụ SMB.
Nếu các máy tính bị tấn công chưa được cập nhật bản vá lỗ hổng windows search (CVE-2017-8589) kẻ tấn công có thể dễ dàng thực thi mã lệnh từ xa, sau đó tấn công leo thang và chiếm quyền điều khiển hệ thống đích. Khi một máy trong hệ thống mạng bị tấn công, việc thực hiện tấn công sang máy tính khác là rất dễ dàng thông qua dịch vụ SMB.
Thời gian vừa qua, đã có nhiều cuộc tấn công lợi dụng cơ chế chia sẻ file của dịch vụ SMB, ví dụ như các cuộc tấn công sử dụng phần mềm độc hại tống tiền Wannacry, Petya. Các cơ quan chức năng cũng đã có nhiều cảnh báo và khuyến nghị về việc này.
Tuy nhiên, theo số liệu thống kê ngày 12/7/2017 từ hệ thống của Cục An toàn thông tin, tại Việt Nam có ít nhất 4062 IP vẫn đang mở cổng dịch vụ SMB (port 445) trên mạng internet.
2. Khuyến nghị
Nhằm bảo đảm an toàn thông tin và giảm thiểu tối đa nguy cơ tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị cũng cũng như người dùng thực hiện:
- Kiểm tra và cập nhật bản vá cho các máy tính có cài đặt hệ điều hành bị ảnh hưởng (theo danh sách tại mục 3 bên dưới). Bật chức năng tự động cập nhật bản vá cho hệ điều hành.
- Vô hiệu hóa các dịch vụ, ứng dụng mạng nếu không sử dụng đến để giảm thiểu tối đa nguy cơ bị tấn công bởi các lỗ hổng chưa được phát hiện.
- Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.
3. Danh sách các phiên bản hệ điều hành Windows bị ảnh hưởng và thông tin bản vá của Microsoft.
- Các phiên bản hệ điều hành bị ảnh hưởng:
- Thông tin bản vá của Microsoft :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8589
MN