InforSec News: Cảnh Báo Lỗ hổng Zero-Day nghiêm trọng trong Windows cho phép trích xuất thông tin xác thực người dùng

Top Block Position

Cảnh Báo Lỗ hổng Zero-Day nghiêm trọng trong Windows cho phép trích xuất thông tin xác thực người dùng

Một lỗ hổng zero-day mới được phát hiện trên tất cả các phiên bản Windows, bao gồm cả phiên bản đã ngừng hỗ trợ, cho phép kẻ tấn công đánh cắp thông tin xác thực NTLM của người dùng chỉ bằng cách xem tệp độc hại trong Windows Explorer. Lỗ hổng này đã được các nhà nghiên cứu tại 0patch phát hiện và công bố, với cảnh báo rằng nguy cơ khai thác trên diện rộng là rất lớn.

Lỗ hổng này hoạt động bằng cách khai thác tính năng hiển thị tệp trong Windows Explorer. Chỉ cần người dùng mở một thư mục được chia sẻ, ổ USB chứa tệp độc hại hoặc thậm chí xem thư mục "Downloads" (tải xuống) nơi tệp độc hại tự động tải về từ trang web của kẻ tấn công, thông tin xác thực NTLM của họ có thể bị rò rỉ.

Phạm vi ảnh hưởng

Lỗ hổng ảnh hưởng đến tất cả các phiên bản Windows, bao gồm:

Windows Workstation: từ Windows 7 đến Windows 11 phiên bản 24H2.
Windows Server: từ Server 2008 R2 đến Server 2022.

Cụ thể:

Windows vẫn nhận bản cập nhật: Windows 10, Windows 11, Server 2016/2019/2022.
Windows đã ngừng hỗ trợ: Windows 7, Server 2008 R2, Server 2012, v.v., bao gồm cả các phiên bản được mở rộng hỗ trợ (ESU).

Chi tiết kỹ thuật

Lỗ hổng cho phép kẻ tấn công thu thập băm NTLM thông qua việc hiển thị tệp độc hại trong Windows Explorer. NTLM hash thu được có thể được sử dụng để:

Thực hiện tấn công brute-force hoặc pass-the-hash để truy cập tài khoản người dùng.
Leo thang đặc quyền trong mạng nội bộ.

Khuyến nghị

Triển khai biện pháp bảo mật bổ sung:

Kích hoạt xác thực đa yếu tố (MFA): Giảm thiểu rủi ro nếu thông tin NTLM bị rò rỉ.
Tắt NTLM trong mạng nội bộ: Sử dụng Kerberos thay thế nếu có thể.
Giám sát lưu lượng mạng: Phát hiện các hoạt động bất thường liên quan đến xác thực NTLM.

Cập nhật phần mềm bảo mật: Đảm bảo hệ thống được bảo vệ bởi các công cụ chống phần mềm độc hại và tường lửa.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học