Cảnh báo: Lỗ hổng Zerologon đe dọa hệ thống mạng của các tổ chức, doanh nghiệp lớn tại Việt Nam

Zerologon là lỗ hổng leo thang đặc quyền nguy hiểm nhắm vào các máy chủ DC (Domain Controller – máy chủ điều khiển của hệ thống) được sử dụng trong hầu hết các hệ thống mạng của các tổ chức, doanh nghiệp lớn tại Việt Nam.

Khai thác thành công, hacker có thể chiếm quyền kiểm soát tất cả các tài khoản trong hệ thống, kể cả tài khoản quản trị viên. Theo ghi nhận của Bkav, đã có một doanh nghiệp Việt Nam là nạn nhân.

Cảnh báo: Lỗ hổng Zerologon đe dọa hệ thống mạng của các tổ chức, doanh nghiệp lớn tại Việt Nam

Zerologon (CVE-2020-1472) có điểm CVSS (thang điểm tiêu chuẩn về mức độ nghiêm trọng của lỗ hổng phần mềm) lên đến 10/10, cho phép tin tặc chiếm quyền điều khiển máy chủ DC và quản lý dịch vụ. DC không có thông tin đăng nhập. Việc khai thác của hacker được thực hiện bằng cách gửi một số lượng lớn các yêu cầu xác thực đến máy chủ DC thông qua giao thức NetLogon (giao thức xác thực đăng nhập từ xa của quản trị viên), với thông tin xác thực chỉ chứa các giá trị là 0 (Zero). Xác thực thành công nếu máy chủ chọn khóa ngẫu nhiên thích hợp. Xác suất khóa này được chọn là 1/256.

Chuyên gia Bkav phân tích, kịch bản tấn công thực tế sẽ bao gồm hai bước. Ban đầu, các cuộc tấn công của hacker chiếm quyền kiểm soát một máy tính hoặc máy chủ được kết nối với máy chủ DC, có thể là máy chủ VPN, máy tính của người dùng, máy chủ web … Với cách thức kiểm soát này, hacker tấn công máy chủ DC thông qua việc khai thác Zerologon sự dễ bị tổn thương.

Ông Nguyễn Văn Cường, Trưởng nhóm Phân tích, cho biết: “Về bản chất, DC là một dịch vụ nền tảng, đứng sau nó phục vụ các hệ thống khác nên ít được quan tâm đến việc vá lỗi. Điều đó có nghĩa là hầu như lỗ hổng này đều tồn tại trong các hệ thống triển khai DC. Với 50 % máy chủ sử dụng hệ điều hành Windows Server, đây sẽ là rủi ro rất lớn cho hệ thống mạng không chỉ ở Việt Nam mà trên toàn thế giới “.

Ông Cường cũng cho biết, tại Việt Nam đã có nạn nhân đầu tiên của vụ tấn công Zerologon. Tin tặc đã xâm nhập thành công hệ thống và toàn quyền kiểm soát tài khoản người dùng của doanh nghiệp này.

Do tính chất đặc biệt nguy hiểm của lỗ hổng, các chuyên gia khuyến cáo các quản trị viên khẩn trương kiểm tra và cập nhật các bản vá cho hệ thống của mình, có thể xem chi tiết lỗ hổng và hướng dẫn kiểm tra, khắc phục lỗ hổng. há hốc mồm đây. Đặc biệt, các hệ thống đang triển khai eEye SOC sẽ được bảo vệ tự động trước các cuộc tấn công Zerologon.

Tuấn Phan