Bạn có tin rằng có một lổ hổng bảo mật được phát hiện lần đầu vào năm 1997, tồn tại trên hệ điều hành Windows trong suốt 18 năm qua và hiện tại vẫn chưa được khắc phục hoàn toàn. Đó chính là lỗ hổng mang tên Redirect to SMB, vậy Redirect to SMB là gì?
Smb là gì – Liệu đây có phải là con dao hai lưỡi cho doanh nghiệp
Định nghĩa về SMB là gì
Nó không chỉ ảnh hưởng tới các tiện ích hệ thống Windows, bao gồm Windows 10 preview mà cả 31 phần mềm bên thứ 3 đến từ Adobe, Apple, Symantec,.. cũng chịu ảnh hưởng từ lỗ hổng này. SMB là gì?
SMB là một giao thức chia sẻ file khá phổ biến khi bạn dùng Windows. Gần như mặc định khi dùng các nền tảng Windows 7/8/10 khi chia sẻ file thì bạn sẽ đụng đến giao thức này. Thế nhưng vẫn còn không ít người cảm thấy xa lạ với thuật ngữ này.
Smb là gì – Liệu đây có phải là con dao hai lưỡi cho doanh nghiệp
Bên cạnh đó còn có Redirect to SMB
Vậy Redirect to SMB là gì? Redirect to SMB được phát triển từ một lỗ hổng trên trình duyệt Internet Explorer do chuyên gia bảo mật Aaron Spangler phát hiện hồi năm 1997. Khi đó, Spangler nhận thấy rằng chỉ cần gõ một địa chỉ URL bắt đầu bằng từ “File” ví dụ như file://1.1.1.1/ thì Windows sẽ tiến hành xác thực địa chỉ đó thông qua giao thức SMB.
Hiểu rỏ được SMB là gì? Lợi dụng điều này, kẻ xấu có thể ghi lại thông tin đăng nhập của nạn nhân. Mặt khác, các địa chỉ URL kiểu này có thể núp bóng dưới dạng hình ảnh, iframe hoặc bất cứ dạng thức media nào hiển thị trên trình duyệt.
Theo báo cáo trong vụ hack Sony Pictures hồi tháng 12 năm ngoái thì hacker cũng đã thực hiện xâm nhập bằng cách lợi dụng lỗ hổng SMB.
Và mới đây, chuyên gia bảo mật Brian Wallace và nhóm bảo mật Cylane đã nghiên cứu lỗ hổng Redirect to SMB dựa trên một ứng dụng chat client. Nhóm ghi nhận được rằng: “Khi một URL dẫn tới một hình ảnh được nhận, client sẽ cố gắn hiển thị một bản xem trước của hình ảnh đó.
Xem thêm:
Đột phá doanh số
Quảng cáo ra đơn ngay, hãy X10 lượng khách hàng bạn có để đột phá doanh số ngay hôm nay
Tư vấn ngayLấy cảm hứng từ nghiên cứu của Aaron cách đây 18 năm, chúng tôi nhanh chóng gởi cho người khác một URL bắt đầu bằng file:// và dẫn tới một máy chủ SMB độc hại. Tất nhiên, kết quả là chat client cố gắng load hình ảnh và hệ thống Windows của nhận tiến hành xác thực với máy chủ SMB mà chúng tôi dẫn về.”
“Chúng tôi đã tạo ra một server HTTP trong Python, dùng một vài dòng startus code HTTP 302 giúp chuyển hướng clients tới file://URL và từ đây, chúng tôi có thể xác nhận rằng một http://URL có thể dẫn tới hành động xác thực từ hệ điều hành.” Tiếp theo đó, hacker chỉ cần tạo ra những hộp thoại nhằm lừa người dùng nhập thông tin cá nhân hoặc yêu cầu xác nhận chứng chỉ nào đó để thực hiện ý đồ xấu.
Hiện nay, điểm yếu chưa gây ra các tác động an toàn thông tin lớn như các điểm yếu về tấn công thực thi mã lệnh từ xa (RCE) nhưng điểm yếu có thể dẫn tới tình trạng từ chối dịch vụ (DoS) khiến các máy bị ảnh hưởng bị gián đoạn hoạt động bình thường.
Smb là gì – Liệu đây có phải là con dao hai lưỡi cho doanh nghiệp
Microsoft vẫn chưa có cách vá lỗ hổng
Hiện tại mã khai thác đã được công bố, bất cứ ai có thể sử dụng, tuy nhiên Microsoft vẫn chưa có bản vá cho lỗ hổng này do đó số lượng người bị ảnh hưởng có thể là rất lớn.
Xem thêm:
Đây không phải lần đầu tiên dịch vụ SMB được phát hiện ra điểm yếu. Trong thời gian trước đây, sâu máy tính Conficker đã tận dụng điểm yếu trên các port của dịch vụ SMB để tấn công và lây nhiễm hàng loạt máy tính trên thế giới.
Theo đánh giá của Cục an toàn thông tin tại Việt Nam, các cơ quan nhà nước, số lượng các máy tính, máy chủ sử dụng hệ điều hành Windows chiếm đa số và việc mở cổng dịch vụ SMB thực sự chưa được kiểm soát chặt chẽ. Do đó, nguy cơ bị lợi dụng điểm yếu trên để tác động đến hoạt động của máy chủ là điều hoàn toàn có thể xảy ra.
Xem thêm:
Tuy nhiên, việc hiểu được những lỗ hổng gây ra từ SMB là gì, nhiệm vụ của người dùng cần cẩn trọng bảo mật cho thông tin của mình. Microsoft vẫn đã và đang cố gắng khắc phục lỗi này cho người tiêu dùng của mình.
