 |
2 trong số các lỗ hổng bảo mật Microsoft công bố trong tháng 4/2024 cần phải xử lý ngay. |
Trong 147 lỗ hổng an toàn thông tin trong các sản phẩm của Microsoft vừa công bố, có một số lỗ hổng mà bất cứ người dùng Windows nên ngay lập tức xử lý.
Khuyến cáo của Microsoft và sau đó là cơ quan chức năng Việt Nam đưa ra chi tiết về sự nguy hiểm của các lỗ hổng này nếu không được quan tâm đúng mức.
Bản phát hành tháng này đặc biệt đáng chú ý vào các lỗ hổng an toàn thông tin có mức ảnh hưởng cao và nghiêm trọng
02 trong số đó, đặc biệt quan trọng vì có thể giúp kẻ xấu chiếm quyền điều khiển hệ thống thông qua các tiến trình thông dụng mà trước giờ chưa được biết đến.
Lỗ hổng CVE-2024-20678 trong Remote Procedure Call Runtime - RPC (Remote Procedure Call - tạm dịch là các thủ tục gọi từ xa), cho phép đối tượng tấn công thực thi mã từ xa.
Trong RPC, một cuộc gọi thủ tục được khởi tạo bởi một hệ thống máy khách, mã hóa và sau đó được gửi đến máy chủ (đối tượng). Sau đó, máy chủ giải mã cuộc gọi và gửi một phản hồi cho máy khách.
RPC đóng một vai trò quan trọng trong việc quản lý thiết bị từ xa qua mạng và được sử dụng để chia sẻ quyền truy cập vào các thiết bị ngoại vi như máy in và máy scan. Các tiến trình Windows liên quan đến phân phối và chia sẻ dữ liệu qua mạng thường sử dụng công nghệ RPC. Người dùng Windows thường đối mặt với các sự cố bởi kẻ xấu thường lợi dụng giao thức này để đánh lừa hệ thống cung cấp những thông tin cần thiết cho việc chiếm quyền điều khiển.
Bằng cách thông qua các máy đã được cấp phép RPC đến mục tiêu, kẻ xấu sẽ gửi các yêu cầu đặc biệt và máy tính của người dùng sẽ mặc nhiên chấp nhận từ đó dẫn đến mất quyền quản trị, điều khiển hệ thống.
Đối với lỗ hổng CVE-2024-29988 trong SmartScreen, cho phép đối tượng tấn công vượt qua cơ chế bảo vệ. SmartScreen, một tính năng được tích hợp từ Windows 8, cho phép hệ thống phản ứng trước khi khởi chạy bất kỳ file thực thi nào.
Nếu trước đó đã được kiểm tra và an toàn, SmartScreen sẽ cho phép ứng dụng khởi chạy, còn nếu chưa nó sẽ cần một tiến trình để kiểm tra. Nhưng nếu không có dữ liệu để đối chứng, nó sẽ hỏi lại người dùng, và chỉ chạy khi người dùng cho phép.
Lỗ hổng này đơn giản là đánh lừa SmartScreen rằng tập tin thực thi đã được xác nhận và khởi chạy mà không hiển thị thêm bất cứ gì.
Thông thường cách tấn công này yêu cầu người dùng bấm vào đường link đính kèm mã độc chứ không thể tự kích hoạt.
Phòng chống như thế nào?
Đối với người dùng độc lập, lỗ hổng CVE-2024-20678 dường như khó có tác động. Tuy nhiên đối với máy chủ chạy Windows của các cơ quan, tổ chức sẽ là một mối nguy rất lớn.
Trong quá trình phục vụ, kiểm soát mạng nội bộ, các máy chủ đã từng cấp phép cho các yêu cầu từ máy con để các truy vấn về sau được thông suốt và không phải hỏi lại. Ở đây có thể gọi là "người quen".
 |
Luôn cẩn thận với các đường link là nguyên tắc không bao giờ thừa. |
Kẻ xấu không trực tiếp tấn công hệ thống của công ty, tổ chức mà thông qua việc kiểm soát máy người dùng cấp thấp hơn để gửi đi yêu cầu. Những máy này vốn trước đó đã được cấp phép RPC cho các tác vụ đa dạng mà vốn dĩ trong việc vận hành của tổ chức, công ty thường có.
Đối với lỗ hổng CVE-2024-29988 thì khả năng ảnh hưởng trực tiếp đến người dùng cao hơn do thói quen và có yếu tố bảo mật kém nhất trong chuỗi là ...con người.
Khi người dùng bị dẫn dắt, đánh lừa bấm vào một liên kết độc hại thì sẽ hoàn toàn mất điều khiển hệ thống. Từ đó, kẻ xấu có thể lợi dụng để khai thác đối với chính máy tính người dùng hoặc sử dụng làm công cụ để tấn công máy chủ của tổ chức, công ty theo cách khai thác đã nêu ở lỗ hổng CVE-2024-20678.
Vì vậy, có hai điều chính yếu được lưu ý để chúng ta an toàn trước hai lỗ hổng nghiêm trọng này.
Thứ nhất, tuyệt đối không được nhấn vào các đường dẫn lạ, hoặc nghi ngờ. Những đường dẫn này thường được gửi kèm trong email hoặc các tài liệu trên mạng. Các tài liệu này thường được gởi bởi người lạ hoặc mạo danh người quen mà không thông báo trước.
Thứ hai, một lỗ hổng khi đã được phát hiện, công bố, tức là nhà phát triển (Microsoft) và các hãng bảo mật đã nắm bắt được. Đương nhiên, thông qua đó sẽ phát hành các bản cập nhật để vá lỗi.
Việc bạn cần làm chỉ đơn giản là cập nhật các bản vá lỗi, update phần mềm an ninh để đưa vắc-xin vào hệ thống.
Nếu máy tính bạn không bật chế độ tự động cập nhật (khuyến cáo nên) thì có thể đến các đường link liệt kê bên dưới để nhận thêm hướng dẫn và cập nhật.
