Theo thống kê, có đến gần 1 triệu máy tính thuộc hệ thống Windows chưa được khắc phục và có nguy cơ bị tấn công từ lỗ hổng thực thi mã độc từ xa có tên “Wormable” BlueKeep RDP rất nghiêm trọng. Lỗ hổng này bị lộ trong bộ điều khiển Windows Remote Desktop Protocol (RDP) vài tuần sau khi Microsoft phát hành bản vá bảo mật.

Nếu bị khai thác, lỗ hổng này cho phép kẻ tấn công thâm nhập vào hàng loạt các máy chủ ở các quốc gia gây ra sự tàn phá trên toàn thế giới, có khả năng nó còn tồi tệ hơn nhiều so với những gì WannaCry và NotPetya đã làm trong năm 2017.

Hacker tấn công Thành phố Mỹ và đòi chuộc 100.000 USD tiền chuộc bằng Bitcoin

Được gọi là BlueKeep và theo dõi với tên CVE-2019-0708, lỗ hổng này ảnh hưởng đến Windows 2003, XP , Phiên bản Windows 7, Windows Server 2008 và 2008 R2 và có thể tự động phát tán trên các hệ thống không được bảo vệ.

Lỗ hổng có thể cho phép kẻ tấn công từ xa không cần xác thực, thực thi mã tùy ý và kiểm soát máy tính được nhắm mục tiêu chỉ bằng cách gửi các yêu cầu được chế tạo đặc biệt đến Dịch vụ máy tính từ xa (RDS) của thiết bị thông qua RDP, mà không yêu cầu bất kỳ tương tác nào từ người dùng.

Mô tả, BlueKeep có thể cho phép phần mềm độc hại lan truyền đến các hệ thống dễ bị tấn công giống như WannaCry. Microsoft đã phát hành một bản sửa lỗi bảo mật để giải quyết lỗ hổng này với các bản cập nhật Patch vào tháng 5 năm 2019 .

Tuy nhiên, vào lần quét Internet mới nhất được thực hiện bởi Robert Graham – người đứng đầu công ty nghiên cứu bảo mật tấn công Errata Security, tiết lộ rằng có khoảng 950.000 máy có thể truy cập công khai trên Internet do bị lỗi BlueKeep.

Graham đã sử dụng ” rdpscan ” , một công cụ quét nhanh mà ông đã xây dựng trên máy quét cổng masscan có thể quét toàn bộ Internet để tìm các hệ thống vẫn dễ bị tổn thương với lỗ hổng BlueKeep và tìm thấy toàn bộ 7 triệu hệ thống đang nghe trên cổng 3399, trong đó khoảng 1 triệu hệ thống vẫn bị tổn thương.

May mắn thay, đến thời điểm hiện tại chưa có nhà nghiên cứu bảo mật nào công bố bất kỳ mã khai thác nào cho BlueKeep, mặc dù một vài trong số họ đã xác nhận đã phát triển thành công khai thác.

Một số biện pháp nhằm giảm thiểu tác động:

• Vô hiệu hóa dịch vụ RDP, nếu không cần thiết.
• Chặn cổng 3389 bằng tường lửa hoặc làm cho nó chỉ có thể truy cập qua VPN riêng.
• Kích hoạt xác thực cấp độ mạng (NLA) – đây là giảm thiểu một phần để ngăn chặn bất kỳ kẻ tấn công không được xác thực nào khai thác lỗ hổng Wormable này.

Cùng nhìn lại những thiệt hại do mã độc Wannacry gây ra năm 2017 TẠI ĐÂY

Nguồn: THN