Thông tin về lỗ hổng

Microsoft SMS (Server Message Block) là giao thức chia sẻ file trên các máy sử dụng hệ điều hành windows, cho phép máy client yêu cầu dịch vụ, truy xuất (đọc và ghi) đến tài nguyên trên máy chủ dịch vụ.

Để truy cập vào tài nguyên được chia sẻ trên máy chủ SMB, client sẽ gửi một thông điệp yêu cầu (SMB2 TREE_CONNECT Request) sau đó server sẽ trả về bằng thông điệp SMB2 TREE_CONNECT Response, client xử lý lưu lượng SMB2 TREE_CONNECT Response trả về thông qua thành phần điều khiển mrxsmb20.sys. Tin tặc có thể lợi dụng để trả về thông điệp độc hại làm cho thành phần mrxsmb20.sys không xử lý được dẫn đến máy bị treo.

(Màn hình khi máy trạm nhận được TREE_CONNECT Response đã bị can thiệp)

Cụ thể, khi thông điệp TREE_CONNECT Response có thành phần NetBIOS header có độ dài quá 1580 Bytes, thông điệp sẽ gây ra tình trạng DoS tại máy khách. Trong các mẫu gói tin phân tích từ các thử nghiệm tấn công thu được, ta có thể thấy được attacker tạo ra gói tin cho phần NetBIOS header có độ dài lớn bằng cách chèn hàng loạt ký tự “C” vào gói tin.

(Gói tin TREE_CONNECT Response đã được chỉnh sửa)

Hiện nay, điểm yếu chưa gây ra các tác động an toàn thông tin lớn như các điểm yếu về tấn công thực thi mã lệnh từ xa (RCE) nhưng điểm yếu có thể dẫn tới tình trạng từ chối dịch vụ (DoS) khiến các máy bị ảnh hưởng bị gián đoạn hoạt động bình thường.

Hiện tại mã khai thác đã được công bố trên GitHub bất cứ ai có thể sử dụng, tuy nhiên Microsoft vẫn chưa có bản vá cho lỗ hổng này do đó số lượng người bị ảnh hưởng có thể là rất lớn.

Đây không phải lần đầu tiên dịch vụ SMB được phát hiện ra điểm yếu. Trong thời gian trước đây, sâu máy tính Conficker đã tận dụng điểm yếu trên các port của dịch vụ SMB để tấn công và lây nhiễm hàng loạt máy tính trên thế giới.

Theo đánh giá của Cục an toàn thông tin tại Việt Nam, các cơ quan nhà nước, số lượng các máy tính, máy chủ sử dụng hệ điều hành Windows chiếm đa số và việc mở cổng dịch vụ SMB thực sự chưa được kiểm soát chặt chẽ. Do đó, nguy cơ bị lợi dụng điểm yếu trên để tác động đến hoạt động của máy chủ là điều hoàn toàn có thể xảy ra.

Khuyến nghị

- Đối với các hệ thống ghi nhận nhiều tấn công lợi dụng điểm yếu trên, tạm thời chặn/cấm tất cả các các kết nối của dịch vụ SMB (mặc định là TCP 139, 445 và UDP 137, 138) trong và ngoài mạng nếu không cần thiết.

- Cân nhắc xây dựng các rule/signature cho các hệ thống firewall, IDS/IPS để ngăn chặn tấn công. Quản trị viên có thể tham khảo rule sau và xây dựng rule cho hệ thống của mình:

alert tcp $EXTERNAL_NET 445 -> $HOME_NET any (sid: 10001515; msg: "SMB Excessive Large Tree Connect Response"; byte_test: 3,>,1000,1; content: "|fe 53 4d 42 40 00|"; offset: 4; depth: 6; content: "|03 00|"; offset: 16; depth:2 ;)

- Theo dõi và vá lỗ hổng ngay khi bản vá được phát hành.

Tác giả: lbqthinh (Nguồn: Cục An toàn thông tin)