tiện ích Windows Search trên Windows.
1. Thông tin chung
- Mức độ: Nghiêm trọng
- Mã lỗi quốc tế: CVE-2017-8589
- Ảnh hưởng: Windows 7, Windows 8, Windows 10, Windows Server: 2008, 2012, 2016
Ngày 11/07/2017, Microsoft cập nhập thông tin về lỗ hổng cho phép thực thi mã lệnh từ xa nằm trong tiện ích tìm kiếm trên các máy tính chạy hệ điều hành Windows, khi khai thác thành công lỗ hổng này kẻ tấn công có thể kiểm soát được hệ thống, sau đó kẻ tấn công có thể cài đặt các phần mềm độc hại; có thể xem, thay đổi hoặc xóa dữ liệu trên máy tính bị tấn công; hoặc tạo thêm một tài khoản mới với đầy đủ quyền của người sử dụng.
Lợi dụng việc các máy tính mở cổng dịch vụ SMB (dịch vụ chia sẻ file qua mạng trên các máy tính chạy hệ điều hành windows, và thường được bật mặc định khi cài đặt hệ điều hành), kẻ tấn công có thể gửi thông điệp giả mạo tới tiện ích Windows Search thông qua dịch vụ SMB.
Nếu các máy tính bị tấn công chưa được cập nhật bản vá lỗ hổng windows search (CVE-2017-8589) kẻ tấn công có thể dễ dàng thực thi mã lệnh từ xa, sau đó tấn công leo thang và chiếm quyền điều khiển hệ thống đích. Khi một máy trong hệ thống mạng bị tấn công, việc thực hiện tấn công sang máy tính khác là rất dễ dàng thông qua dịch vụ SMB.
Thời gian vừa qua, đã có nhiều cuộc tấn công lợi dụng cơ chế chia sẻ file của dịch vụ SMB, vì dụ như các cuộc tấn công sử dụng phần mềm độc hại tống tiền Wannacry, Petya. Các cơ quan chức năng cũng đã có nhiều cảnh báo và khuyến nghị về việc này.
Tuy nhiên, theo số liệu thống kê ngày 12/7/2017 từ hệ thống của Cục An toàn thông tin, tại Việt Nam có ít nhất 4062 IP vẫn đang mở cổng dịch vụ SMB (port 445) trên mạng internet.
2. Khuyến nghị
Nhằm bảo đảm an toàn thông tin và giảm thiểu tối đa nguy cơ tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị cũng cũng như người dùng thực hiện:
- Kiểm tra và cập nhật bản vá cho các máy tính có cài đặt hệ điều hành bị ảnh hưởng (theo danh sách tại mục 3 bên dưới). Bật chức năng tự động cập nhật bản vá cho hệ điều hành.
- Vô hiệu hóa các dịch vụ, ứng dụng mạng nếu không sử dụng đến để giảm thiểu tối đa nguy cơ bị tấn công bởi các lỗ hổng chưa được phát hiện.
- Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.
3. Danh sách các phiên bản hệ điều hành Windows bị ảnh hưởng và thông tin bản vá của Microsoft.
- Các phiên bản hệ điều hành bị ảnh hưởng:
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
- Thông tin bản vá của Microsoft :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8589
4. Tham khảo
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8589
http://www.securityfocus.com/bid/99425
Theo: http://ais.gov.vn
Nguyễn Thanh Phong
