Trong bài viết này mình xin chia sẻ với các bạn về một trong những vá lỗi bảo mật Win nghiêm trọng mà tập đoàn Mircrosoft đã xác nhận. Cách thức mà kẻ xấu có thể khai thác được lỗ hổng này.

Các lỗi bảo mật và bản vá mới của windows :

Trong tháng 9 năm nay, ở đợt vá lỗi Patch Tuesday tập đoàn Microsoft đã giải quyết 79 lỗ hổng với 17 trong số đó được dán nhãn là Nghiêm trọng. Trong số 17 bản đó, 8 bản dành cho trình duyệtscripting engines, 4 bản dành cho Remote Desktop Client và 3 bản dành cho SharePoint. Ngoài ra, Microsoft đã một lần nữa vá một lỗ hổng nghiêm trọng cho các file LNK, cùng với một lỗ hổng trong Azure DevOps / TFS.

Sau bản vá Tuesday, Microsoft đã cập nhật các lỗ hổng cho ‘CVE-2019-1214’‘CVE-2019-1215’.

Các bản vá lỗi tiếp theo của windows đã được update như sau:

Workstation Patches :

  • Đây là các bản vá lỗi dành cho Scripting Engine, Browser và file LNK trên các dòng máy trạm và các hệ thống email hoặc các hệ thông truy cập internet thông qua trình duyệt. Bản vá này cũng bao gồm các máy chủ cho nhiều người dùng thông qua giao thức Remote Desktop (RDP).

Remote Desktop Client Patches :

  • Trong bản sữa lỗi này, Microsoft đã vá bốn lỗ hổng về thực thi mã từ xa (RCE) trong Remote Desktop Client: ‘CVE-2019-0787’, ‘CVE-2019-0788’, ‘CVE-2019-1290’‘CVE-2019-1291’.
    Để khai thác các lỗ hổng này, kẻ tấn công sẽ cần phải có một người dùng kết nối với máy chủ RDP độc hại hoặc bị xâm nhập. Các lỗ hổng được Microsoft phát hiện là kết quả của việc kiểm tra lỗ hổng nội bộ đối với Remote Desktop Client. Các bản vá này được ưu tiên cập nhật trên tất cả các hệ thống có Remote Desktop Client được sử dụng.

SharePoint Patches :

  • Đối với chức năng SharePoint, Microsoft cũng đưa ra ba bản vá các lỗi liên quan đến RCE: ‘CVE-2019-1257’, ‘CVE-2019-1295’‘CVE-2019-1296’. Một là lỗi liên quan đến việc tải lên gói ứng dụng độc hại và 2 bản vá còn lại dành cho việc sữa chữa lỗi ở API SharePoint. Các bản vá này được Microsoft ưu tiên cập nhật cho các hệ thống có sử dụng chức năng SharePoint.

Đối với tấn công leo thang đặt quyền (Attacked Privilege Escalation), Microsoft cũng có bản vá cho 2 lỗi nghiêm trọng này. Một là lỗi ‘CVE-2019-1214’ là một lỗ hổng trong trình điều khiển Hệ thống tệp nhật ký chung (CLFS – Common Log File System driver), hai là lỗi ‘CVE-2019-1215’ dành cho Winsock driver. Các bản vá trên mà Microsoft đã cung cấp đều hướng đến việc khắc phục lỗi leo thang đặt quyền và tấn công thực thi mã từ xa (RCE). Hai lỗi này cho phép kẻ tấn công thực thi một đoạn mã đọc mà không cần quyền quản trị.

Lỗi bảo mật trong RDP (Remote Desktop Protocol) :

  • Đối với lỗ hổng trên RDP ta lưu ý đến 4 lỗi sau mà Microsoft đã cảnh báo cũng như yêu cầu update các bản vá nhanh nhất cỏ thể về các lỗ hổng sau : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291. dùng để khai thác tấn công từ xa vào giao thức Remote Desktop.
  • Mô tả chi tiết: Các lỗ hổng CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291 đều có kịch bản tấn công tương tự nhau. Trong các lỗ hổng này, trước đó kẻ tấn công đã chiếm một máy chủ dịch vụ Remote Desktop rồi lừa người dùng kết nối đến. Khi kết nối Remote Desktop tới máy chủ dịch vụ, máy người dùng sẽ bị khai thác lỗ hổng và thực thi mã tùy ý. Ngoài ra, kẻ tấn công có thể chủ động chiếm máy chủ DNS rồi trỏ các kết nối Remote Desktop tới máy chủ độc được dựng sẵn từ trước. Hiện tại các lỗ hổng này chưa được công bố PoC hoặc mã khai thác.
  • Các nguy cơ này cần lưu ý những yếu tố sau: Trong trường hợp máy chủ Remote Desktop đó được sử dụng cho mục đích kết nối tới mạng ngoài thì tất cả máy tính người dùng trong doanh nghiệp, tổ chức đó đều có nguy cơ bị ảnh hưởng. Kẻ tấn công có thể kết hợp lỗ hổng nổi tiếng BlueKeep CVE-2019-0708 (hiện đã được công bố rộng rãi mã khai thác, xác nhận tấn công thành công trên Windows 7 và Windows Server 2008 R2) để thực hiện một chuỗi tấn công khai có chủ đích tới các máy chủ Remote Desktop có thể truy cập từ ngoài Internet. Việc mã khai thác của lỗ hổng BlueKeep được công bố khiến cho khả năng khai thác các lỗ hổng CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291 trở nên khả thi.

Các bản vá lỗi bảo mật Win 10/09/2019 cho CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291

Hệ điều hành Bài viết Download Impact Severity Supersedence
Windows 10 Version 1703 for 32-bit Systems 4516068 Download RCE Critical 4512507
Windows 10 Version 1703 for x64-based Systems 4516068 Download RCE Critical 4512507
Windows 10 Version 1803 for 32-bit Systems 4516058 Download RCE Critical 4512501
Windows 10 Version 1803 for x64-based Systems 4516058 Download RCE Critical 4512501
Windows Server, version 1803 (Server Core Installation) 4516058 Download RCE Critical 4512501
Windows 10 Version 1803 for ARM64-based Systems 4516058 Download RCE Critical 4512501
Windows 10 Version 1809 for 32-bit Systems 4512578 Download RCE Critical 4511553
Windows 10 Version 1809 for x64-based Systems 4512578 Download RCE Critical 4511553
Windows 10 Version 1809 for ARM64-based Systems 4512578 Download RCE Critical 4511553
Windows Server 2019 4512578 Download RCE Critical 4511553
Windows Server 2019 (Server Core installation) 4512578 Download RCE Critical 4511553
Windows 10 Version 1709 for 32-bit Systems 4516066 Download RCE Critical 4512516
Windows 10 Version 1709 for 64-based Systems 4516066 Download RCE Critical 4512516
Windows 10 Version 1709 for ARM64-based Systems 4516066 Download RCE Critical 4512516
Windows 10 Version 1903 for 32-bit Systems 4515384 Download RCE Critical 4512508
Windows 10 Version 1903 for x64-based Systems 4515384 Download RCE Critical 4512508
Windows 10 Version 1903 for ARM64-based Systems 4515384 Download RCE Critical 4512508
Windows Server, version 1903 (Server Core installation) 4515384 Download RCE Critical 4512508
Windows 10 for 32-bit Systems 4516070 Download RCE Critical 4512497
Windows 10 for x64-based Systems 4516070 Download RCE Critical 4512497
Windows 10 Version 1607 for 32-bit Systems 4516044 Download RCE Critical 4512517
Windows 10 Version 1607 for x64-based Systems 4516044 Download RCE Critical 4512517
Windows Server 2016 4516044 Download RCE Critical 4512517
Windows Server 2016 (Server Core installation) 4516044 Download RCE Critical 4512517
Windows 7 for 32-bit Systems Service Pack 1 4516033 Download RCE Critical 4512506
Windows 7 for 64-bit Systems Service Pack 1 4516033 Download RCE Critical 4512506
Windows Server 2008 for 32-bit Systems Service Pack 2 4516051 Download RCE Critical 4512476
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) 4516051 Download RCE Critical 4512476
Windows Server 2008 for Itanium-Based Systems Service Pack 2 4516051 Download RCE Critical 4512476
Windows Server 2008 for x64-based Systems Service Pack 2 4516051 Download RCE Critical 4512476
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) 4516051 Download RCE Critical 4512476
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 4516033 Download RCE Critical 4512506
Windows Server 2008 R2 for x64-based Systems Service Pack 1 4516033 Download RCE Critical 4512506
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) 4516033 Download RCE Critical 4512506
Windows Server 2012 4516062 Download RCE Critical 4512518
Windows Server 2012 (Server Core installation) 4516062 Download RCE Critical 4512518
Windows Server 2012 R2 4516064 Download RCE Critical 4512488
Windows Server 2012 R2 (Server Core installation) 4516064 Download RCE Critical 4512488
Tagged:

Leave a Reply

Your email address will not be published. Required fields are marked *