Lỗ hổng nghiêm trọng trên Windows có thể khiến mọi dữ liệu bị khóa

11.600 máy chủ tại Việt Nam có thể bị khai thác lỗ hổng

Tin tặc có thể thực thi mã và tấn công hệ thống từ xa khi khai thác lỗ hổng mức nghiêm trọng mã CVE-2022-26809 của Windows.

Ngày 12/4, Microsoft đã phát hành bản vá Windows với 128 lỗ hổng bảo mật trên hệ điều hành. Đặc biệt, lỗi CVE-2022-26809 được công ty đánh giá với CVSS (Hệ thống chấm điểm lỗ hổng bảo mật) với số điểm 9.8/10, mức độ rất nghiêm trọng. Ngoài ra, tất cả hệ điều hành Windows đều dính lỗ hổng này, bao gồm cả phiên bản dành cho cá nhân và máy chủ (server).

Cụ thể, theo thông báo từ phía Microsoft, lỗ hổng này xuất hiện trong RPC Runtime Library và sẽ cho phép tin tặc thực thi mã từ xa trên hệ thống bị tấn công.

Lỗ hổng của hệ điều hành Windows

Chia sẻ với PV , chuyên gia Nguyễn Minh Đức, nhà sáng lập kiêm CEO công ty bảo mật CyRadar cho biết có khoảng 11.600 máy chủ tại Việt Nam đang mở cổng (port) 445, thông qua tìm hiểu trên công cụ Shodan.io. Do đó, nguy cơ bị tấn công là rất lớn. Ngoài ra, vấn đề này mới được công khai nên rất nhiều doanh nghiệp chưa có các biện pháp xử lý.

Do lỗ hổng này, ông Đức cho biết công ty đã ghi nhận được một số dạng tấn công. Cụ thể, hacker có thể cài đặt ransomware (mã độc tống tiền) trên máy của nạn nhân để mã hóa toàn bộ dữ liệu.

Lỗ hổng trên hệ điều hành Windows khiến tin tặc có thể mã hóa dữ liệu để tống tiền. Ảnh: Getty .

Trong khi đó, một số bên lại xuất hiện tình trạng bị cài đặt phần mềm gián điệp RAT (Remote Access Tool). Với công cụ này, tin tặc có thể âm thầm thu nhập dữ liệu và cho phép điều khiển các chúng từ xa. Thậm chí, một số máy chủ còn bị cài mã độc đào coin, nhằm lợi dụng hạ tầng để thực hiện mục đích.

Theo điều tra của công ty bảo mật CyRadar, lỗ hổng mã CVE-2022-26809 trên hệ điều hành Windows từng được ghi nhận sớm nhất vào ngày 16/3. Trước khi Microsoft tung bản vá vào ngày 14/4, nhiều hacker đã có được mã khai thác lỗ hổng và tăng nguy cơ nhiều máy chủ đã bị ảnh hưởng.

Để khắc phục tình trạng này, ông Đức cho rằng các máy chủ phải được nâng cấp bản vá mới nhất của Microsoft, đặc biệt là những máy chưa bị dính mã độc nhằm hạn chế rủi ro. Để đề phòng một số lỗ hổng có khả năng xuất hiện, các đơn vị có thể nâng cấp tường lửa (firewall) để tránh trường hợp bị công khai ra không gian Internet do một số máy chủ có kết nối thông qua cổng 445 và 135.

Ngoài ra, ông Đức nhận định rằng một số máy chủ bị tấn công có thể do chưa cài đặt phần mềm chống mã độc. Để đảm bảo an toàn, máy chủ nên được trang bị các phần mềm bảo mật để tránh gặp tình trạng bị khai thác dữ liệu.

Đối với những máy chủ chưa bị tấn công, việc sao lưu dữ liệu định kỳ thông qua những máy chủ khác là điều rất cần thiết.

Trong khi đó, chia sẻ với PV , chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC) cũng đưa ra một số biện pháp dành cho các đơn vị. Trong đó, ông Hiếu khuyến cáo không nên hoặc hạn chế để RPC tiếp xúc với Internet. Điều này có thể gây mất tính khả dụng trên hệ thống mạng.

Ngoài ra, ông Hiếu cho rằng Group Policy Object (GPO) nên được cân nhắc kỹ càng với các nguyên tắc của tường lửa dựa trên máy chủ để hạn chế cho phép truy cập PAWS (Privileged Access Workstation).

3 lỗ hổng nghiêm trọng

Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), danh sách bản vá lỗi được Microsoft công bố ngày 12/4, gồm 128 lỗ hổng bảo mật trong các sản phẩm của mình. Trong đó, 4 lỗ hổng bảo mật mức cao và 3 lỗ hổng mức nghiêm trọng là nhóm cần đặc biệt lưu ý.

Công ty phần mềm Misa cũng xác nhận một số khách hàng bị tấn công mã hóa dữ liệu liên quan đến lỗ hổng nghiêm trọng Microsoft công bố.

Các lỗ hổng bảo mật ở mức nghiêm trọng bao gồm CVE-2022-26809, CVE-2022-24491 và CVE-2022-24497.

Các đơn vị cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị tấn công.

Trong đó, lỗ hổng bảo mật CVE-2022-26809 nằm trong RPC Runtime Library, ảnh hưởng trực tiếp đến máy tính sử dụng hệ điều hành Windows 8.1/10/11 và Windows Server 2012/2016/2019. Lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao trên hệ thống bị ảnh hưởng.

Liên quan đến CVE-2022-26809, Misa cảnh báo về việc một số khách hàng sử dụng sản phẩm của công ty bị tấn công mã hóa dữ liệu. Sau khi điều tra, công ty này cho biết vấn đề là do lỗ hổng CVE-2022-26809 bị khai thác.

Hai lỗ hổng bảo mật mức nghiêm trọng khác là CVE-2022-24491 và CVE-2022-24497 đều nằm trong Windows Network File System cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao.

Các lỗ hổng bảo mật ở mức cao bao gồm CVE-2022-26815 trong Windows DNS Server cho phép đối tượng tấn công thực thi mã từ xa; CVE-2022-26904 trong Windows User Profile Service cho phép đối tượng tấn công nâng cao đặc quyền, cần lưu ý rằng lỗ hổng này đã có mã khai thác công khai trên Internet.

Lỗ hổng bảo mật CVE-2022-26919 trong Windows LDAP cho phép đối tượng tấn công thực thi mã từ xa, và CVE-2022-24521 trong Windows Common Log File System Driver cho phép đối tượng tấn công nâng cao đặc quyền.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin và bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin khuyến nghị các đơn vị công nghệ thông tin kiểm tra, rà soát, xác định máy sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng. Ngoài ra, cần cập nhật bản vá kịp thời để tránh nguy cơ bị tấn công.