Phát hiện, ngăn chặn lỗ hổng nguy cấp ZeroLogon trên Windows Server

Lỗ hổng được mang tên "ZeroLogon", có số hiệu là CVE-2020-1472, được nhà nghiên cứu bảo mật Tom Tervoort của Secura phát hiện. Lỗ hổng tồn tại do việc sử dụng mã hóa AES-CFB8 không an toàn trong các phiên Netlogon, cho phép các tin tặc từ xa thiết lập một kết nối tới trình điều khiển miền mục tiêu trên giao thức Netlogon Remote Protocol (MS-NRPC).

Các nhà nghiên cứu bảo mật tại Cynet cho biết: "Cuộc tấn công sử dụng các lỗ hổng trong giao thức xác thực. Do sử dụng sai chế độ hoạt động AES nên nó có thể giả mạo danh tính của bất kỳ tài khoản máy tính nào (bao gồm cả chính DC) và thiết lập một mật khẩu rỗng cho tài khoản đó trong tên miền"

Mặc dù lỗ hổng có số điểm CVSS là 10, được tiết lộ lần đầu cho công chúng khi Microsoft phát hành bản vá cho nó vào tháng 8, nhưng nó đã trở thành một vấn đề đột ngột được quan tâm sau khi các nhà nghiên cứu công bố chi tiết về kỹ thuật và các bằng chứng về lỗ hổng này vào tuần trước.

Cùng với các cơ quan của chính phủ Ấn Độ và Úc, cơ quan an ninh hạ tầng và an ninh mạng Mỹ (CISA) cũng đã ban hành chỉ thị khẩn cấp hướng dẫn các cơ quan trong của liên bang ngay lập tức vá lỗ hổngZerologon trên các máy chủ windows.

Các nhà tư vấn cho biết: "Netlogon gửi một số thông báo trong đó các trường khác nhau được lấp đầy với những con số "0", một kẻ tấn công không xác thực có thể thay đổi mật khẩu máy tính của trình điều khiển miền của quản trị viên (AD). Sau đó chúng có thể sử dụng việc này để chiếm quyền quản trị miền rồi khôi phục mật khẩu DC ban đầu".

Theo Secura, lỗ hổng có thể bị khai thác theo trình tự sau: Giả mạo thông tin xác thực khách hàng; Vô hiệu hóa và ngắt tín hiệu RPC (Remote Procedure Call - tín hiệu gọi thủ tục từ xa); Giả mạo cuộc gọi; Thay đổi mật khẩu AD của máy tính; Thay đổi mật khẩu quản trị tên miền.

"CISA đã xác nhận rằng lỗ hổng này gây ra một rủi ro lớn đối với cơ quan điều hành dân sự liên bang và yêu cầu một hành động khẩn cấp và ngay lập tức".

CISA khuyến cáo: "Nếu không thể cập nhật được các trình điều khiển miền bị ảnh hưởng thì hãy đảm bảo rằng chúng đã được xóa khỏi mạng".

Hơn nữa, Samba - một thực thi giao thức mạng SMB cho các hệ thống Linux – phiên bản 4.7 trở về trước cũng dễ bị tấn công bởi lỗ hổng Zerologon. Hiện tại, bản vá cập nhật cho phần mềm này cũng đã được phát hành.

Bên cạnh việc giải thích nguyên nhân gốc rễ của vấn đề, Cynet cũng công bố những thông tin chi tiết về những thành phần có thể bị sử dụng để khai thác lỗ hổng, bao gồm kiểu bộ nhớ đặc biệt trong bộ nhớ lsass.exe và sự tăng vọt lưu lượng bất thường trong lsass.exe.

"Thành phần lạ được lưu lại nhiều nhất là một tài khoản máy tính Windows Event ID 4742 'A đã bị thay đổi, thường được kết hợp với những quyền đặc biệt của Windows Event ID 4672 ' đã chuyển nhượng cho đăng nhập mới".

Nhằm cho phép người dùng Windows Server nhanh chóng phát hiện các cuộc tấn công liên quan, các chuyên gia cũng đưa ra quy tắc YARA để phát hiện các cuộc tấn công xảy ra trước khi nó được triển khai, cùng với đó, người dùng có thể tải về công cụ đơn giản để giám sát thời gian thực.

Tuy nhiên, để khắc phục hoàn toàn sự cố, bạn vẫn nên cài đặt bản cập nhật phần mềm mới nhất của Microsoft càng sớm càng tốt.