Microsoft hôm nay cuối cùng đã phát hành một bản cập nhật phần mềm khẩn cấp để vá lỗ hổng rất nguy hiểm được tiết lộ gần đây trong giao thức SMBv3, có thể cho phép kẻ tấn công khởi chạy phần mềm độc hại có thể xâm nhập, có thể tự lây lan từ máy tính dễ bị tổn thương này sang máy tính dễ bị tổn thương khác. Lỗ hổng được theo dõi là CVE-2020-0796, trong câu hỏi là một lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows 10 phiên bản 1903 và 1909, và Windows Server phiên bản 1903 và 1909.
Máy chủ (SMB), chạy trên cổng TCP 445, là một giao thức mạng đã được thiết kế để cho phép chia sẻ tệp, duyệt mạng, dịch vụ in và giao tiếp giữa các mạng. Lỗ hổng mới nhất, có bản cập nhật vá (KB4551762) hiện có sẵn trên trang web của Microsoft, tồn tại theo cách giao thức SMBv3 cho phép kẻ tấn công từ xa không được xác thực thực thi mã độc trên máy chủ đích hoặc máy khách với HỆ THỐNG được phân quyền.
SMBv3 là một tính năng đã được thêm vào giao thức của hệ điều hành Windows 10 và Windows Server vào tháng 5/2019, được thiết kế để nén kích thước thư mục được trao đổi giữa máy chủ và máy khách được kết nối với nó.
“Để khai thác lỗ hổng, kẻ tấn công không được xác thực có thể gửi một gói tin được viết bằng các dòng lệnh đặc biệt rồi gửi đến máy chủ SMBv3. Để khai thác lỗ hổng chống lại máy khách, kẻ tấn công không được xác thực sẽ cần phải cấu hình máy chủ SMBv3 độc hại và người dùng kết nối với người dùng nó, “Microsoft nói trong lời khuyên .
Tại thời điểm viết bài, chỉ có một khai thác PoC được biết đến tồn tại cho lỗ hổng có thể khai thác từ xa quan trọng này, nhưng các bản vá mới kỹ thuật đảo ngược giờ đây cũng có thể giúp tin tặc tìm thấy các hướng tấn công có thể phát triển phần mềm độc hại tự lan truyền được tự động hóa hoàn toàn.
Một nhóm các nhà nghiên cứu riêng biệt cũng đã công bố một phân tích kỹ thuật chi tiết về lỗ hổng này, kết luận một lỗi tràn bộ nhớ là nguyên nhân gốc rễ của vấn đề.
Tính đến hôm nay, có gần 48.000 hệ thống Windows dễ bị tổn thương trước lỗ hổng SMBv3 mới nhất và có thể truy cập qua Internet.
Do bản vá cho lỗ hổng SMBv3 hiện có sẵn để tải xuống cho các phiên bản Windows bị ảnh hưởng, nên người dùng gia đình và doanh nghiệp nên cài đặt bản cập nhật càng sớm càng tốt.
