Redirect to SMB - Lỗ hổng bảo mật tồn tại suốt 18 năm qua trên mọi phiên bản Windows
ndminhduc
6 nămBình luận: 72
Tinhte-lo-hong-windows.jpg

Bạn có tin rằng có một lổ hổng bảo mật được phát hiện lần đầu vào năm 1997, tồn tại trên hệ điều hành Windows trong suốt 18 năm qua và hiện tại vẫn chưa được khắc phục hoàn toàn. Đó chính là lỗ hổng mang tên Redirect to SMB và nó không chỉ ảnh hưởng tới các tiện ích hệ thống Windows, bao gồm Windows 10 preview mà cả 31 phần mềm bên thứ 3 đến từ Adobe, Apple, Symantec,.. cũng chịu ảnh hưởng từ lỗ hổng này.

Redirect to SMB là gì?


Redirect to SMB được phát triển từ một lỗ hổng trên trình duyệt Internet Explorer do chuyên gia bảo mật Aaron Spangler phát hiện hồi năm 1997. Khi đó, Spangler nhận thấy rằng chỉ cần gõ một địa chỉ URL bắt đầu bằng từ "File" (thí dụ như file://1.1.1.1/) thì Windows sẽ tiến hành xác thực địa chỉ đó (1.1.1.1) thông qua giao thức SMB (Server Massage Block). Lợi dụng điều này, kẻ xấu có thể ghi lại thông tin đăng nhập của nạn nhân. Mặt khác, các địa chỉ URL kiểu này có thể núp bóng dưới dạng hình ảnh, iframe hoặc bất cứ dạng thức media nào hiển thị trên trình duyệt.

SMB - Server Message Block là một giao thức thường được dùng để chia sẻ file, máy in và các cổng nối tiếp trong hệ thống mạng. Trong những năm qua, nhiều phiên bản của SMB đã được ra đời và theo thống kê, đây là một trong những attack vector phổ biến trong những những vụ tấn công mạng. Theo báo cáo trong vụ hack Sony Pictures hồi tháng 12 năm ngoái thì hacker cũng đã thực hiện xâm nhập bằng cách lợi dụng lỗ hổng SMB.

Quảng cáo


Tinhte-tan-cong-BMS.png
Sơ đồ một cuộc tấn công lợi dụng lỗ hổng Redirect to SMB

Và mới đây, chuyên gia bảo mật Brian Wallace và nhóm bảo mật Cylane đã nghiên cứu lỗ hổng Redirect to SMB dựa trên một ứng dụng chat client. Nhóm ghi nhận được rằng: "Khi một URL dẫn tới một hình ảnh được nhận, client sẽ cố gắn hiển thị một bản xem trước của hình ảnh đó. Lấy cảm hứng từ nghiên cứu của Aaron cách đây 18 năm, chúng tôi nhanh chóng gởi cho người khác một URL bắt đầu bằng file:// và dẫn tới một máy chủ SMB độc hại. Tất nhiên, kết quả là chat client cố gắng load hình ảnh và hệ thống Windows của nhận tiến hành xác thực với máy chủ SMB mà chúng tôi dẫn về."


"Chúng tôi đẫ tạo ra một server HTTP trong Python, dùng một vài dòng startus code HTTP 302 giúp chuyển hướng clients tới file://URL và từ đây, chúng tôi có thể xác nhận rằng một http://URL có thể dẫn tới hành động xác thực từ hệ điều hành." Tiếp theo đó, hacker chỉ cần tạo ra những hộp thoại nhằm lừa người dùng nhập thông tin cá nhân hoặc yêu cầu xác nhận chứng chỉ nào đó để thực hiện ý đồ xấu.

Redirect to SMB có thể gây nguy hiểm cho người dùng như thế nào?


muo-security-smb-password-theft.jpg

Có 4 hàm API của Windows có thể được sử dụng để chuyển hướng một kết nối HTTP hoặc HTTPs tới kết nối SMB - nơi mà các server độc hại đang chờ đợi dùng các biểu mẫu giả mạo để đánh cắp thông tin đăng nhập, cá nhân của người dùng và sử dụngnos cho các mục đích xấu. Brian Wallace cho biết để thực hiện thành công Redirect to SMB, hacker phải tìm được cách chuyển hướng nhằm có quyền "kiểm soát một số thành phần trong lưu lượng truy cập mạng của nạn nhân."

Ông cho biết thêm rằng các mối đe dọa có thể núp bóng dưới hình thức các quảng cáo độc hại yêu cầu người dùng phải xác thực, hoặc Redirect to SMB có thể được sử dụng trong mạng Wifi công cộng, có thể thực hiện tấn công từ một máy tính xách tay hoặc thậm chí là một điện thoại Android,… Có thể, một trong các khả năng nguy hiểm nhất khi sử dụng Redirect to SMB là thông qua trình iTunes Software Updater của Apple trên Windows. Trong trường hợp này, một DNS record bị xâm phạm sẽ chuyển hướng thao tác tải các bản cập nhật sang server SMB, và từ đây, hacker sẽ sử dụng kiểu tấn công Man In The Middle để dò ra được thông tin đăng nhập vào phần mềm của nạn nhân.

Nói một cách đơn giản, lỗ hổng này nên được khắc phục từ 18 năm về trước. Dù lúc bấy giờ, Microsoft đã cung cấp cách để giảm thiểu lỗ hổng này nhưng lực lượng hacker ngày càng đông đảo với các thủ đoạn tấn công phức tạp và tinh vi hơn, cộng với việc ngày càng có nhiều người dùng Intrenet làm cho mối nguy hại của lỗ hổng này trở nên ngày càng cấp bách hơn.

Những phần mềm bị ảnh hưởng của Redirect to SMB

Quảng cáo



Cho tới hiện tại, có ít nhất là 31 ứng dụng và tiện ích hệ thống được phát hiện là bị ảnh hưởng bởi lỗ hổng Redirect to SMB. Đầu tiên là 2 tên tuổi lớn Microsoft và Apple.

Microsoft:
  • Internet Explorer 11
  • Windows Media Player
  • Excel 2010
  • Microsoft Baseline Security Analyzer
Apple:
  • QuickTime
  • Apple iTunes Software Update
Tiếp theo là các phần mềm bảo mật trên Windows cũng bị ảnh hưởng
  • Symantec Norton Security Scan
  • AVG Free
  • BitDefender Free
  • Comodo Antivirus
muo-security-smb-password-boxsync.png

Các ứng dụng dịch vụ đám mây được cho là ảnh hưởng nghiêm trọng nhất
  • Adobe Reader
  • Box Sync (client của dịch vụ lưu trữ box.net)
  • TeamView
Và cuối cùng là các tiện ích và installer
  • NET Reflector
  • Maltego CE
  • GitHub for Windows
  • PyCharm
  • IntelliJ IDEA
  • PHP Storm
  • Oracle JDK 8u31’s installer
Giải pháp trong khi chờ đợi các bản vá

Tinhte-tuong-lua.PNG
Microsoft tuyên bố rằng họ đang tìm cách khắc phục lỗ hổng nguy hiểm này. Vậy trước khi các bản vá được cập nhật, chúng ta nên làm gì? Theo lời khuyên từ các chuyên gia bảo mật tại Cylance, cách tốt nhất lúc này là ngăn chặn lưu lượng truy cập được gởi đi từ máy tính của người dùng qua TCP 139 và TCP 445. Điều này có thể được thực hiện bằng tường lửa hoặc cài đặt trên router của người dùng. Cách chặn bằng tường lửa trên Windows thì các bạn vào Control Panel -> Firewall -> chọn Advanced Settings -> Outbound Rules (cột bên trái) -> New Rule (cột bên phải) -> Đánh dấu chọn Port, nhấn Next -> Chọn TCP, gõ 139, 445 vào khung Specific remote ports, nhấn Next - > Chọn Block the connection, nhấn Next -> Next -> đặt tên cho rules, Finish. Còn cách chặn bằng router thì các bạn có thể tham khảo thêm trong hướng dẫn sử dụng đi kèm.

Quảng cáo




Tham khảo MuO, Cylance
jerrydau
ĐẠI BÀNG
6 năm
Vừa vào để ngăn chặn "TCP 139 và TCP 445" bằng tường lửa, thì tường lửa của win báo đang bị Kaspersky nó quản lý ... liệu kasper có ngăn chặn được lỗi này?
@jerrydau chỉ có 4 thằng bị, chắc các thằng khác đã khắc phục đc hết
  • Symantec Norton Security Scan
  • AVG Free
  • BitDefender Free
  • Comodo Antivirus
_______
Gửi từ phimINI.com của tôi sử dụng Tinhte.vn app
@jerrydau Chắc chắn những lỗi mà nổi tiếng như thế này thì những AV như vậy phải làm được chứ bạn @@
Zoro kun
TÍCH CỰC
6 năm
@jerrydau bác dùng kas rồi thì tắt fw của win đi chứ, ai dùng cả 2 bao h cho nó cắn nhau ak.
may quá, em xài táo....
@Emxinthua.hihi *phần mềm bên thứ 3 từ apple cho windows
osx liên quan ghê ;)
Sini Muong
ĐẠI BÀNG
6 năm
@Emxinthua.hihi Quicktime với iTunes update bên Windows đó má.
@Emxinthua.hihi Đọc comment của bác, đọc lại bài 1 lần nữa, nhưng vẫn không biết xui chỗ nào... mong bác chỉ dạy
lo hong bao mat nay 18 nam troi chua sua dc nua
binh thuong.. khong co gi phai ngac nhien..
Mình là người dùng cá nhân nên cũng k quan tam lắm:3
so sánh một chút, lỗ hổng Heartbleed trên pm nguồn mở OpenSSL có từ năm 2011, được GG phát hiện năm 2014 và được vá ngay sau đó😃
Done+
ĐẠI BÀNG
6 năm
@Utopic Unicorn So sánh kiểu gì vậy? Chả liên quan gì hết :|
rasputin
ĐẠI BÀNG
6 năm
@Done+ Tỏ ra hiểu biết đó mà.
nk0ktran96
TÍCH CỰC
6 năm
Klq nhưng có ai thấy cái hình password nó ảo ko vậy
cuong642
TÍCH CỰC
6 năm
@nk0ktran96 ảo gì bác, cái này bình thường, chỉ cần bác truy cập face mình cũng có thể lấy đc pass face bác 😁
leminhkha
TÍCH CỰC
6 năm
một người dùng bình thường thì không cần quan tâm những thứ này
appleno1
TÍCH CỰC
6 năm
Đó ko phải là lỗi,nó là 1 tính năng 😁
@appleno1 tủ lạnh vào nhận hàng :p
cunhim
ĐẠI BÀNG
6 năm
Chả có gì phải xoắn. OS nào cũng có mà, quan trọng là có công bố không thôi.
có một lỗ hổng bảo mật trên hệ điều hành Women từ lúc ra đời đến tầm 15 năm sau là bị khai thác tối đa
thế nếu kô gõ bằng file:// thì có bị gì không?
bango123
TÍCH CỰC
6 năm
@cardmanhinh.com Nếu bác chỉ gõ 1.1.1.1 nó sẽ chuyển sang http://1.1.1.1
@cardmanhinh.com Đâu cần bạn click, bạn vào một trang nào đó, nó có nhúng sẵn mã regedit các kiểu là dính rồi mà.
@cardmanhinh.com Trong gói tin HTTP response bọn nó chèn link đó vào header để trình duyệt tự load về, làm sao mà nhìn được bác
Ms vào Việt Nam! Bao nhiêu năm rồi nhỉ? Có đến 17 năm không?

Và chúng ta chưa có bộ gõ TV cho cái Windows mà hầu hết nGười Việt Nam! Nào dùng máy tính cũng dùng...

Ms chơi không fair với người dùng Việt Nam! Tí nào.
heocon20044
ĐẠI BÀNG
6 năm
@cuhiep Tại vì người VN mình có fair vs MS đâu..toàn xài ..... ...
vunt
TÍCH CỰC
6 năm
@cuhiep Người Việt nam dùng win ....... nhất thế gới, cần quái gì nó phải làm không công cho các bố...
@cuhiep Bộ gõ hiện tại ok rồi :v chỉ ghét vụ utf8 thôi :v
lehn85
TÍCH CỰC
6 năm
@cuhiep Bác gõ bằng bộ gõ gì mà chữ nghĩa nhảy lôm côm thế.
Lỗi nghiêm trọng quá 😁
chuongmd91
ĐẠI BÀNG
6 năm
:eek: Chết rồi thế này thì 40GB dữ liệu tuyệt mật của mình có thể bị đánh cắp bất cứ lúc nào. :rolleyes::rolleyes::rolleyes::rolleyes:
webzone.vn
TÍCH CỰC
6 năm
có cả pycharm nữa ư. đang dùng thằng này. nhưng mà chắc là không sao. hacker thiếu phim xxx, thì mới hack vào máy của mình hihi
chongao2k5
TÍCH CỰC
6 năm
Đẹp mặt chưa!?
Với M$ thì cứ từ từ :p
bộ gõ cùi bắp của windows giống VNI gõ số ra dấu nhưng nói chung chả ai quan tâm


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store





Đang theo dõi




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2021 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019