Bitdefender chặn CVE-2020-0796 ‘EternalDarkness Bug’ ở cấp độ Network

Bitdefender chặn  CVE-2020-0796 ‘EternalDarkness Bug’ ở cấp độ Network

Vào ngày 12 tháng 3 năm 2020, Microsoft đã phát hành một bản vá đặc biệt quan trọng giúp khắc phục một lỗ hổng nghiêm trọng trong trình điều khiển nhân SMB. Vô tình được tiết lộ, sau đó bị bỏ lỡ trong Bản vá tháng 3 năm 2020 ngày thứ ba, lỗ hổng này ảnh hưởng đến SMB Client và Server phiên bản 3.1.1 cho Windows và có thể bị khai thác từ xa để kích hoạt một cuộc tấn công từ chối dịch vụ và trong một số trường hợp, thực thi mã từ xa.

Do việc khai thác lỗ hổng không yêu cầu xác thực, cuộc tấn công này có thể được biến hóa dưới dạng worm worm có thể cho phép một diễn viên đe dọa chạy mã từ xa chỉ bằng cách kết nối với máy Windows qua mạng SMB (cổng 445).

Nền tảng

Năm ngoái, Microsoft đã thêm một tính năng để nén dữ liệu trao đổi giữa các máy chủ chạy SMB Client và Server cho Windows. Tính năng này chỉ khả dụng bắt đầu với Windows 10 phiên bản 1903. Tuy nhiên, do lỗi trong mã để phân tích các tiêu đề thư nén, một kẻ tấn công không được xác thực gửi gói tin được tạo đặc biệt có thể viết và đọc tràn ra ngoài bộ nhớ trên hệ thống lỗ hổng.

Thêm vào đó, dữ liệu không đáng tin cậy từ mạng được sao chép trực tiếp trong cấu trúc ssmb2_compression_transform_header, sau đó được thêm vào (header.OriginalCompressedSegmentSize + header.OffsetOrLength) để xác nhận có thể dẫn đến tràn số nguyên có thể dẫn đến việc phân bổ bộ đệm nhỏ hơn được sử dụng để giải nén dữ liệu. Phần còn lại của dữ liệu giải nén sẽ tràn vào bộ nhớ.

Một luồng số nguyên cũng có thể xảy ra khi header.OffsetOrLength lớn hơn kích thước của gói được gửi qua mạng, điều này sẽ dẫn đến kết quả đọc tran ra ngoài. Bằng cách kết hợp hai lỗi này, kẻ tấn công có thể có được việc thực thi mã từ xa và, mặc nhiên, sở hữu máy đích.

Bài học rút ra từ năm 2017 và giảm thiểu

Nếu SMB và các cuộc tấn công wormable  thể tấn công, chuông rung, bạn không tưởng tượng ra điều gì - chúng ta đã trải qua điều này trước đó, vào năm 2017, khi khai thác EternalBlue được cho là do Cơ quan An ninh Quốc gia  National Security Agency (NSA) phát triển được sử dụng để rocket-strap WannaCry ransomware.

Mặc dù tại thời điểm này, không có bằng chứng nào cho thấy việc khai thác được sử dụng trong tự nhiên, lỗ hổng này được xếp hạng CRITICS, với điểm cơ bản CVSS là 10. Các quản trị viên CNTT nên hành động ngay lập tức để giảm thiểu rủi ro.

1. Install updates: Microsoft released KB4551762 on March 12 that fixes the vulnerability. Bitdefender customers can automate deployment of updates via the Patch Management module.
2. If patching is impossible, disable SMBv3 compression on servers. This does not fix the issue on vulnerable clients. You can disable compression with the PowerShell command below:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

 3. Block TCP port 445 externally at the enterprise perimeter firewall. Normally, SMB services should not be exposed outside of the local network.

Bitdefender có thể bảo vệ bạn như thế nào?

Tất cả khách hàng của Bitdefender GravityZone đều được bảo vệ trước việc khai thác CVE-2020-0796 thông qua Network Attack Defense, một công nghệ mạnh mẽ mà Bitdefender đã tích hợp trong toàn bộ sản phẩm doanh nghiệp của mình. Công nghệ này tập trung vào việc phát hiện các kỹ thuật tấn công mạng được thiết kế để có quyền truy cập vào các điểm cuối cụ thể, chẳng hạn như tấn công cưỡng chế, khai thác mạng và đánh cắp mật khẩu, và đã chứng minh hiệu quả trong một số vụ tấn công gần đây, bao gồm cả vụ bùng phát năm ngoái của BlueKeep.

Giữ an toàn trước các hoạt động khai thác SMB và các mối đe dọa trực tuyến mới nổi khác với giải pháp tránh vi phạm từ đầu đến cuối, kết hợp cứng hóa, ngăn chặn, phát hiện và phản hồi dưới một tác nhân duy nhất, một nền tảng duy nhất. Yêu cầu bản demo  Bitdefender GravityZone™  ngay hôm nay.

BitdefenderTotal Security 2020

Giá chuẩn: 790.000,00 ₫

Khuyến mãi:300.000,00 ₫

Giá đặc biệt: 490.000,00 ₫

Post Releases