Khoa học kỹ thuật

Nguy cơ tấn công vào các tổ chức qua lỗ hỏng ZeroLogon

01:53 22/10/2020

Sở Thông tin và Truyền thông An Giang (Đội ứng cứu khẩn cấp sự cố an toàn thông tin mạng) cho biết, ngày 11/8/2020, Microsoft đã công bố lỗ hỏng CVE-2020-1472 (còn được gọi là Zerologon) trên các máy chủ Domain Controller cho phép đối tượng tấn công thực hiện tấn công leo thang để chiếm quyền quản trị. Khi tấn công được vào máy chủ này, thì đối tượng tấn công xem như kiểm soát toàn bộ hệ thống thông tin của tổ chức.

 

Trung tâm Giám sát an toàn không gian mạng quốc gia, Cục An toàn thông tin đầu tháng 9/2020 phát hiện có một số mã khai thác công khai trên Internet. Những mã khai thác này có thể sử dụng để tấn công vào máy chủ Domain Controller qua đó kiểm soát hệ thống thông tin của các cơ quan tổ chức đặc biệt là các cơ quan chính phủ trong chiến dịch tấn công nguy hiểm.

Sở TTTT (Đội ứng cứu khẩn cấp sự cố an toàn thông tin mạng) đề nghị các cơ quan, đơn vị, tổ chức thực hiện yêu cầu điều phối của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) - Cục An toàn Thông tin góp phần bảo đảm an toàn không gian mạng;

Cụ thể, triển khai khẩn cấp việc kiểm tra, rà soát các máy chủ Domain Controller (nếu có)đang vận hành . Thực hiện cập nhật bản vá theo hướng dẫn (phụ lục đính kèm);

Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.

 

Responsive image
 

PHỤ LỤC: THÔNG TIN VỀ LỖ HỎNG

1.Thông tin chung

Điểm CVSS: 10.0 (đặc biệt nghiêm trọng).

Ảnh hưởng: các máy chủ Domain Controller sử dụng Windows Server 2008; 2012; 2016; 2019, Windows Server version 1903, 1909, 2004.

Lỗ hổng tồn tại khi đối tượng tấn công thiết lập kết nối kênh bảo mật Netlogon với bộ điều khiển tên miền (Domain Controller), sử dụng giao thức từ xa Netlogon (MS-NRPC).

Để khai thác lỗ hổng, đối tượng tấn công sẽ được yêu cầu sử dụng MS-NRPC để kết nối với Domain Controller, để có quyền truy cập quản trị viên.

2.Hướng dẫn cập nhật bản vá

Microsft đang giải quyết lỗ hổng này trong bản phát hành theo từng giai đoạn, quản trị viên tại cơ quan tổ chức trước mắt có thể cần thực hiện bản vá của Giai đoạn 1

Giai đoạn 1 (thực hiện ngay): cập nhật bản vá đã phát hành vào 11/8/2020. Bản vá này cho phép Domain Controller có thể bảo vệ các Windows, ghi lại các sự kiện để phát hiện thiết bị không tuân thủ đang sử dụng các kết nối kênh bảo mật Netlogon dễ bị tấn công.

Tham khảo các bản vá được cập nhật tại:

https://portal.msrc.microsoft.com/.../advisory/CVE-2020-1472

https://support.microsoft.com/.../how-to-manage-the...

Giai đoạn 2: bản vá phát hành Quí 1 năm 2021 sẽ khắc phục hoàn toàn

 

Các tin khác