Phát hiện lỗ hổng CredSSP RDP trong các phiên bản của Windows

lo-hong-CredSSP-rdp-trong-windows

Một lỗ hổng quan trọng đã được phát hiện trong giao thức CredSSP của Credential Security Provider (CredSSP) ảnh hưởng đến tất cả các phiên bản của Windows hiện nay. Lỗ hổng này cho phép hacker có thể khai thác RDP và WinRM để ăn cắp dữ liệu người dùng và chèn mã độc hại.

Giao thức CredSSP được thiết kế để sử dụng bởi  RDP (Remote Desktop Protocol) và Windows Remote Management (WinRM) nhằm đảm bảo các thông tin được mã hóa khi chuyển tiếp từ máy khách Windows sang các máy chủ đích và xác thực từ xa.

Các nhà nghiên cứu của Cybersecurity Preempt Security cho rằng CVE-2018-0886 là một lỗ hổng mật mã hợp lý trong CredSSP có thể bị tin tặc khai thác thực hiện phương thức tấn công man-in-the-middle thông qua Wifi hoặc truy cập internet trong môi trường vật lý để lấy cắp dữ liệu người dùng hoặc trục lợi từ xa.

Khi khách hàng và máy chủ xác thực qua các giao thức kết nối RDP và WinRM, hacker có thể thực hiện man-in-the-middle thâm nhập vào hệ thống mạng của doanh nghiệp.Thông qua phiên làm việc của người dùng, tin tặc có thể chiếm đầy đủ quyền người dùng, chạy các lệnh khác nhau với các đặc quyền quản trị nội bộ.

Xem thêm: 8 phương pháp tấn công mạng nổi bật năm 2017

Đại diện hãng Preempt cho biết: “Lỗ hổng này có thể khiến cho các doanh nghiệp dễ bị tổn thương trước nhiều mối đe doạ từ những kẻ tấn công, bao gồm sự di chuyển và lây nhiễm sang các máy chủ quan trọng hoặc các bộ điều khiển hệ thống.”

Vì RDP là ứng dụng phổ biến nhất để thực hiện đăng nhập từ xa, do đó hầu hết các doanh nghiệp sẽ gặp sự cố bảo mật khi sử dụng giao thức RDP.

Hiểu rõ hơn về lỗ hổng CredSSP trong video dưới đây:


Mặc dù lỗ hổng này đã được báo cáo tới Microsoft vào tháng 8 năm 2017, tuy nhiên hãng Microsoft đã gặp sự cố khi fix giao thức này.

Để bảo vệ bản thân và tổ chức của chính mình trước sự khai thác CredSSP, bạn nên cập nhật các bản vá lỗi trong máy trạm và máy chủ có sẵn từ Microsoft. Ngoài ra, việc chặn các cổng ứng dụng bao gồm RDP, DCE/RPC có thể làm giảm nguy cơ tấn công thông qua lỗ hổng trên.

Các chuyên gia bảo mật cho rằng cuộc tấn công này cso thể được thực hiện bằng nhiều cách khác nhau, sử dụng giao thức khác nhau. Do đó, để bảo vệ hệ thống mạng của bạn tốt hơn, bạn nên giảm thiểu tối đa việc sử dụng tài khoản đặc quyền càng nhiều càng tốt, thay vào đó bạn có thể sử dụng các tài khoản không đặc quyền khi có thể.

Về phía Microsoft, họ đã cập nhật các bản vá lỗi cho sản phẩm của mình như: Microsoft IE và trình duyệt Edge, Windows OS, Microsoft Office, PowerShell, Core ChakraCore, cũng như Adobe Flash player, do đó bạn có thể update tại đây ngay.