Sở Thông tin và Truyền thông: Cảnh báo lỗ hỏng nghiêm trọng trong tiện ích tìm kiếm trên hệ điều hành Windows (Windows Search)

Thứ tư - 26/07/2017 16:00 52 0
Ngày 19/7/2017, Sở Thông tin và Truyền thông đã có văn bản thông báo đến các sở, ban, ngành và UBND các huyện, thành phố về việc cảnh báo lỗ hổng nghiêm trọng trong tiện ích tìm kiếm trên hệ điều hành Windows (Windows Search).

​Theo đó, ngày 11/07/2017, Microsoft cập nhập thông tin về lỗ hổng cho phép thực thi mã lệnh từ xa nằm trong tiện ích tìm kiếm trên các máy tính chạy hệ điều hành Windows, khi khai thác thành công lỗ hổng này kẻ tấn công có thể kiểm soát được hệ thống, sau đó kẻ tấn công có thể cài đặt các phần mềm độc hại; có thể xem, thay đổi hoặc xóa dữ liệu trên máy tính bị tấn công; hoặc tạo thêm một tài khoản mới với đầy đủ quyền của người sử dụng.

Lợi dụng việc các máy tính mở cổng dịch vụ SMB (dịch vụ chia sẻ file qua mạng trên các máy tính chạy hệ điều hành windows, và thường được bật mặc định khi cài đặt hệ điều hành), kẻ tấn công có thể gửi thông điệp giả mạo tới tiện ích Windows Search thông qua dịch vụ SMB.

Nếu các máy tính bị tấn công chưa được cập nhật bản vá lỗ hổng windows search (CVE-2017-8589) kẻ tấn công có thể dễ dàng thực thi mã lệnh từ xa, sau đó tấn công leo thang và chiếm quyền điều khiển hệ thống đích. Khi một máy trong hệ thống mạng bị tấn công, việc thực hiện tấn công sang máy tính khác là rất dễ dàng thông qua dịch vụ SMB.

Thời gian vừa qua, đã có nhiều cuộc tấn công lợi dụng cơ chế chia sẻ file của dịch vụ SMB, ví dụ như các cuộc tấn công sử dụng phần mềm độc hại tống tiền Wannacry, Petya. Các cơ quan chức năng cũng đã có nhiều cảnh báo và khuyến nghị về việc này.

Tuy nhiên, theo số liệu thống kê ngày 12/7/2017 từ hệ thống của Cục An toàn thông tin, tại Việt Nam có ít nhất 4062 IP vẫn đang mở cổng dịch vụ SMB (port 445) trên mạng internet.

Nhằm đảm bảo an toàn thông tin và giảm thiểu tối đa nguy cơ tấn công mạng nguy hiểm, Sở Thông tin và Truyền thông đề nghị các Sở, ngành tỉnh, UBND các huyện, thành phố kiểm tra và cập nhật bản vá cho các máy tính của người dùng tại cơ quan, đơn vị. Bật chức năng tự động cập nhật bản vá cho hệ điều hành (chi tiết biện pháp kỹ thuật tham khảo tại website https://sotttt.tayninh.gov.vn). Khuyến khích người dùng thường xuyên theo dõi các thông tin về an toàn thông tin trên các trang thông tin điện tử hoặc tại Cổng thông tin điện tử của Sở Thông tin và Truyền thông (https://sotttt.tayninh.gov.vn).

Thông tin về bảng vá lỗi cho Hệ điều hành tại địa chỉ: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8589

Liên hệ ngay Sở Thông tin và Truyền thông khi có sự cố liên quan đến an toàn thông tin thông qua đường dây nóng (0276) 3611169 hoặc thư điện tử: hotro@tayninh.gov.vn để được phối hợp, hỗ trợ xử lý.

 Phụ lục kèm theo hướng dẫn chi tiết.

Cảnh báo lỗ hổng nghiêm trọng trong tiện ích tìm kiếm trên hệ điều hành Windows (Windows Search) cho phép tấn công chiếm quyền điều khiển

1. Thông tin chung                             

- Mức độ: Nghiêm trọng

- Mã lỗi quốc tế: CVE-2017-8589

- Ảnh hưởng: Windows 7, Windows 8, Windows 10, Windows Server: 2008, 2012, 2016

          Ngày 11/07/2017, Microsoft cập nhập thông tin về lỗ hổng cho phép thực thi mã lệnh từ xa nằm trong tiện ích tìm kiếm trên các máy tính chạy hệ điều hành Windows, khi khai thác thành công lỗ hổng này kẻ tấn công có thể kiểm soát được hệ thống, sau đó kẻ tấn công có thể cài đặt các phần mềm độc hại; có thể xem, thay đổi hoặc xóa dữ liệu trên máy tính bị tấn công; hoặc tạo thêm một tài khoản mới với đầy đủ quyền của người sử dụng.

Tiện ích Windows Search trên Windows.

Lợi dụng việc các máy tính mở cổng dịch vụ SMB (dịch vụ chia sẻ file qua mạng trên các máy tính chạy hệ điều hành windows, và thường được bật mặc định khi cài đặt hệ điều hành), kẻ tấn công có thể gửi thông điệp giả mạo tới tiện ích Windows Search thông qua dịch vụ SMB.

Nếu các máy tính bị tấn công chưa được cập nhật bản vá lỗ hổng windows search (CVE-2017-8589) kẻ tấn công có thể dễ dàng thực thi mã lệnh từ xa, sau đó tấn công leo thang và chiếm quyền điều khiển hệ thống đích. Khi một máy trong hệ thống mạng bị tấn công, việc thực hiện tấn công sang máy tính khác là rất dễ dàng thông qua dịch vụ SMB.

Thời gian vừa qua, đã có nhiều cuộc tấn công lợi dụng cơ chế chia sẻ file của dịch vụ SMB, ví dụ như các cuộc tấn công sử dụng phần mềm độc hại tống tiền Wannacry, Petya. Các cơ quan chức năng cũng đã có nhiều cảnh báo và khuyến nghị về việc này.

Tuy nhiên, theo số liệu thống kê ngày 12/7/2017 từ hệ thống của Cục An toàn thông tin, tại Việt Nam có ít nhất 4062 IP vẫn đang mở cổng dịch vụ SMB (port 445) trên mạng internet.

2. Khuyến nghị

Nhằm bảo đảm an toàn thông tin và giảm thiểu tối đa nguy cơ tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị cũng cũng như người dùng thực hiện:

- Kiểm tra và cập nhật bản vá cho các máy tính có cài đặt hệ điều hành bị ảnh hưởng (theo danh sách tại mục 3 bên dưới). Bật chức năng tự động cập nhật bản vá cho hệ điều hành.

- Vô hiệu hóa các dịch vụ, ứng dụng mạng nếu không sử dụng đến để giảm thiểu tối đa nguy cơ bị tấn công bởi các lỗ hổng chưa được phát hiện.

- Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.

3. Danh sách các phiên bản hệ điều hành Windows bị ảnh hưởng và thông tin bản vá của Microsoft.

- Các phiên bản hệ điều hành bị ảnh hưởng:

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1511 for 32-bit Systems
  • Windows 10 Version 1511 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)

- Thông tin bản vá của Microsoft :

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8589

 


MN


Lịch công tác
Thông báo
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây