Lỗ hổng CredSSP trong giao thức Remote Desktop ảnh hưởng đến mọi phiên bản Windows

By | 10:45 am | 21/03/2018

g4xujn831cpgwpgsa8yy

Một lỗ hổng nghiêm trọng vừa được phát hiện trong giao thức Credential Security Support Provider (CredSSP) ảnh hưởng đến mọi phiên bản Windows tính đến hiện tại và cho phép kẻ tấn công từ xa khai thác RDP và WinRM để đánh cắp dữ liệu và thực thi các mã độc hại.

Giao thức CredSSP được thiết kế dành cho RDP (Remote Desktop Protocol) và Windows Management (WinRM) để quản lý các tài khoản được mã hóa khi gửi từ Windows client tới máy chủ để xác thực từ xa.

Được phát hiện bởi các nhà nghiên cứu tại công ty Preempt Security, CVE-2018-0886 nằm trong lỗ hổng mã hóa của CredSSP, có thể bị khai thác bởi kẻ tấn công man-in-the-middle thông qua WiFi hoặc truy cập vật lý vào mạng dây để đánh cắp dữ liệu xác thực phiên và thực hiện tấn công Remote Procedure Call.

Khi client và server xác thực thông qua các giao thức truyền thông RDP và WinRM, kẻ tấn công man-in-the-middle có thể thực thi các câu lệnh từ xa để xâm nhập vào mạng của doanh nghiệp.

“Khi kẻ tấn công đánh cắp phiên từ một người dùng có đủ đặc quyền, hắn có thể thực thi các lệnh với quyền admin. Điều này đặc biệt nghiêm trọng đối với các bộ điều khiển miền, do hầu hết các Lời gọi thủ tục từ xa (Remote Procedure Calls – DCE/RPC) đều được bật theo mặc định,” theo Yaron Zinar, trưởng nhóm nghiên cứu bảo mật tại Preempt.

“Điều này có thể khiến cho các doanh nghiệp phải đối mặt với nhiều nguy cơ, bao gồm chuyển hướng và xâm nhập các máy chủ quan trọng hoặc các bộ điều khiển miền.”

Lỗ hổng khiến cho các hệ thống mạng doanh nghiệp gặp nguy cơ lớn bởi hầu hết khách hàng và nhân viên đều sử dụng RDP để đăng nhập từ xa.

Để bảo vệ bản thân và tổ chức khỏi các khai thác CredSSP, người dùng được khuyến cáo cập nhật bản vá mới nhất từ Microsoft.

Mặc dù các nhà nghiên cứu cũng cảnh báo rằng chỉ cập nhật bản vá là chưa đủ để phòng chống dạng tấn công này, các chuyên gia IT cần phải thực hiện cấu hình hệ thống để áp dụng bản vá một cách tối ưu nhất.

Chặn các cổng liên quan bao gồm RDP và DCE/RPC cũng có thể ngăn chặn cuộc tấn công, nhưng các nhà nghiên cứu cho biết vẫn có thể thực hiện dạng tấn công này theo nhiều cách khác, sử dụng các giao thức khác.

Vì thế, để bảo vệ mạng của bạn một cách tốt nhất, hãy giảm các đặc quyền của người dùng xuống càng thấp càng tốt và thay vào đó, hãy dùng các tài khoản không được cấp quyền khi có thể.

Theo: thehackernews.com