Qua công tác theo dõi, cập nhật tình hình an toàn, an ninh thông tin từ các tổ chức trong nước và trên thế giới, Cục CNTT thông báo tới Qúy đơn vị thông tin về lỗ hổng về an ninh, an toàn thông tin như sau:
Lỗ hổng Zerologon CVE-2020-1472, có điểm CVSS 10.0, nằm trong bản vá bảo mật tháng 8 của Microsoft. Lỗ hổng khai thác giao thức Netlogon MS-NRPC – giao thức mã hóa xác thực cho phép máy được quyền tham gia vào hệ thống mạng Windows Active Directory. Bằng cách khai thác cơ chế lỗi của mã hóa AES-CFB8 trong giao thức MS-NRPC, kẻ tấn công có thể chiếm quyền điều khiển bất cứ tài khoản nội bộ (kể cả tài khoản máy chủ DC) bằng cách đặt mật khẩu của nó về giá trị rỗng. Lỗ hổng ảnh hưởng tới các hệ điều hành Windows Server 2018R2 trở lên. Theo thông tin từ cơ quan chức năng, sau khi thông tin khai thác (POC) được công bố, một số nhóm chuyên thực hiện tấn công APT có dấu hiệu tận dụng lỗ hổng này để tấn công sâu vào hệ thống thông tin của các cơ quan tổ chức.
Hiện tại hãng Microsoft thông báo sẽ cập nhật triệt để đối với lỗ hổng này qua hai giai đoạn:
Giai đoạn 1 – vá lỗi tạm thời: Đã có trong danh sách vá lỗi cập nhật tháng 8/2020. Bản vá này cần triển khai trên tất cả các máy chủ DC trong hạ tầng của tổ chức. Theo đánh giá của các nhà nghiên cứu, việc vá lỗi tạm thời này chỉ bảo vệ được các giải pháp của Microsoft chứ không bảo vệ được các sản phẩm “bên thứ ba không phải hệ điều hành Windows” cũng nằm trong mạng nội bộ của tổ chức.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
Giai đoạn 2 – vá lỗi triệt để: Hãng thông báo sẽ vá lỗi triệt vào quý 1/2021 bằng cách cải thiện tính bảo mật cho giao thức RPC.
Ngoài ra, để phát hiện nguy cơ khai thác lỗ hổng Zerologon, hãng Microsoft khuyến nghị quản trị ATTT của tổ chức theo dõi các hành vi bất thường của giao thức Netlogon bằng cách theo dõi giám sát các Windows Event sau qua SIEM (một số EventID này được Microsoft mới thêm vào trong thời gian gần đây):
EventID 5827 và EventID 5828: Phát sinh nếu có gói tin Netlogon bị từ chối kết nối (Cơ chế của lỗ hổng Zerologon cần phải kết nối thử tối thiểu 256 lần nên trong quá trình khai thác lỗ hổng này có thể phát sinh các EventID dạng này).
EventID 5829: Phát sinh nếu có gói tin Netlogon được cho phép kết nối trong khoảng từ ngày 11/8/2020 cho tới 9/2/2021 (mốc giai đoạn vá lỗi triệt để do Microsoft thông báo). Sau khi cập nhật bản vá triệt để vào tháng 2/2021, hãng cho biết EventID 5829 sẽ không còn phát sinh.
EventID 5830 và EventID 5831: Phát sinh khi có gói tin Netlogon kết nối dựa trên cài đặt của Group Policy.
Quản trị ATTT của tổ chức tham khảo thêm từ phía hãng:
Ngoài ra, trong trường hợp tổ chức chưa có cơ chế theo dõi giám sát ATTT Windows Event qua SIEM, quản trị ATTT có thể tham khảo Powershell Script cho phép giám sát các EventID nhạy cảm liên quan tới gói tin Netlogon:
Để kiểm tra khả năng máy chủ DC trong hạ tầng có khả năng bị khai thác lỗi CVE-2020-1472, quản trị ATTT của tổ chức có thể tham khảo “Zerologon Python Testing Script” do hãng Secura công bố (Script này không phải PoC hoặc mã khai thác lỗ hổng): https://github.com/SecuraBV/CVE-2020-1472
Để đảm bảo an ninh an toàn thông tin trong ngành Ngân hàng, Cục Công nghệ thông tin đề nghị các đơn vị thực hiện ngay một số việc như sau:
- Rà soát, khắc phục lỗ hổng bảo mật trên tất cả các hệ thống thông tin có khả năng bị ảnh hưởng bởi lỗ hổng trên.
- Thực hiện biện pháp phòng chống tạm thời trong trường hợp chưa thể cập nhật bản vá theo hướng dẫn của Microsoft tại địa chỉ bên trên.
3. Tăng cường giám sát hệ thống mạng để phát hiện các dấu hiệu bất thường, bao gồm cả việc khai thác lỗ hổng bảo mật nêu trên để nhắm vào hệ thống thông tin của đơn vị.
Cục Công nghệ thông tin xin thông báo để các đơn vị biết, thực hiện./.
Nguồn : Phòng An ninh thông tin – Cục Công nghệ thông tin – NHNN Việt Nam