Lỗ hổng nghiêm trọng tồn tại trên window server suốt 17 năm vừa được công bố.

Mới đây, công ty Cổ phần An Ninh Mạng Việt Nam vừa phát đi cảnh báo về một lỗ hổng có khả năng dẫn tới thảm họa như virus WannaCry hay Petya vừa được công bố. Lỗ hổng đạt mức độ nghiêm trọng 10/10 theo thang điểm CVSS, được đặt tên là SigRed vớii mã định danh CVE-2020-1350. SigRed cho phép thực thi mã từ xa trên Microsoft DNS Server, là một thành phần quan trọng của hạ tầng tổ chức công nghệ thông tin. Từ đó, tin tặc có thể chặn, thao túng email, lây lan mã độc, mã hóa, tống tiền trong tổ chức.

Lỗ hổng này ảnh hưởng tới tất cả các phiên bản Windows server từ 2003 đến 2019.

Để khai thác lỗ hổng này, tin tặc khéo léo tận dụng chèn mã khai thác trong các phản hồi DNS từ các máy chủ DNS của họ để tạo ra lỗi tràn bộ đệm trên module xử lý truy vấn DNS (dns.exe) của máy chủ. Từ đó, có thể chiếm đặc quyền của quản trị viên tên miền đối với các máy chủ DNS mà không cần xác thực, điều này đồng nghĩa bất kỳ máy tính nào cũng có thể khai thác được chỉ cần kết nối tới máy tính nạn nhân. Những máy chủ DNS đóng vai trò quan trọng trong tổ chức, tin tặc có thể giả mạo các bản ghi DNS, từ đó giành quyền kiểm soát hoàn toàn cơ sở hạ tầng CNTT của tổ chức.

Nguy hiểm hơn, các chuyên gia Bảo mật của VSEC cho biết rằng lỗ hổng này có thể lan truyền trong mạng, cho phép kẻ tấn công thực hiện một cuộc tấn công lây lan giữa các máy tính mà không cần sự tương tác của con người. Điều này càng đẩy tính nghiêm trọng của lỗ hổng lên một mức độ mới. Khi một cuộc tấn công có thể kích hoạt phản ứng dây chuyền cho phép các cuộc tấn công lan từ máy tính này sang máy tính khác. Các hacker có thể lợi dụng lỗ hổng để phát tán mã độc trong mạng máy tính, tính nghiêm trọng tương đương các thảm họa như vi rút Wanna Cry hay Petya.

Gần như ngay lập tức, Microsoft tung ra bản vá một cảnh báo nghiêm trọng tới toàn bộ người dùng của họ. Đồng thời, Microsoft cũng trấn an người dùng bằng việc xác nhận chưa có chứng cứ nào cho rằng lỗ hổng bị khai thác trong thực tế. "Windows DNS Server là một thành phần mạng lõi. Mặc dù lỗ hổng này hiện chưa được sử dụng trong các cuộc tấn công hiện nay, nhưng điều cần thiết là khách hàng cài đặt các phiên bản cập nhật Windows để giải quyết lỗ hổng này càng sớm càng tốt", đại diện Microsoft nói.

VSEC khuyến cáo tới các quản trị viên hạ tầng công nghệ thông tin cần cài đặt bản cập nhật bảo mật của DNS Server trong thời gian sớm nhất. Trong trường hợp chưa thể cài đặt bán vá. VSEC cũng đề xuất một cách giải quyết đơn giản dựa trên registry không yêu cầu khởi động lại máy chủ. Cụ thể, Quản trị viên chạy một số lệnh sau đây thay đổi nội dung registry:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

Do tính dễ khai thác của lỗ hổng này, quản trị viên có thể phải triển khai cách giải quyết trước khi áp dụng bản cập nhật bảo mật.

Mọi tổ chức, dù lớn hay nhỏ sử dụng cơ sở hạ tầng của Microsoft có rủi ro bảo mật lớn, nếu không được cập nhật phương án khắc phục. Rủi ro có thể dẫn tới tài sản thông tin của toàn bộ mạng công ty gặp nguy hiểm.