Tìm hiểu về lỗ hổng CVE-2017-0016

1. Tổng quan
- CVE 2017 – 0016 là một lỗ hổng gây từ chối trạng thái dịch vụ (DoS),
được công bố vào ngày 02 tháng 02 năm 2017. Lỗ hổng này tồn tại
mặc định trong nhiều phiên bản của hệ điều Windows, tác hại nghiêm
trọng đối với các phiên bản Windows server vì gây tình trạng DoS với
các hệ thống này ảnh hưởng rất lớn đến tổ chức, cũng như các cá nhân
muốn truy cập tại thời điểm đó.
- Lỗ hổng này là do việc xử lý không đúng các yêu cầu nhất định được
gửi bởi máy chủ SMB độc hại tới máy khách. Để khai thác lỗ hổng, kẻ
tấn công có thể sử dụng các phương pháp khác nhau như tấn công
chuyển hướng (redirectors), vector tấn công bổ xung, ..., có thể gây ra
ứng dụng SMB để kết nối với máy chủ SMB độc hại. Bản cập nhật
bảo mật giải quyết lỗ hổng bằng cách sửa lỗi cách ứng dụng khách
SMBv2 / SMBv3 của Microsoft xử lý các yêu cầu được tạo thủ công
đặc biệt.
SMB là gì?
Server Message Block protocol (SMB) hoạt động như một giao thức
mạng lớp ứng dụng sử dụng chủ yếu để cung cấp truy cập chia sẻ đến các
file, máy in và cổng nối tiếp và truyền thông hỗn hợp giữa các nút trên
mạng. Nó cũng cung cấp một cơ chế xác thực. Sau này khi SMB được kế
thừa bởi Microsoft thì hãng này đã biến nó thành một giao thức chia sẻ
file cực kỳ phổ biến trên các hệ điều hành của mình. Ngoài ra SMB còn
hỗ trợ một số tính năng : Tìm kiếm các máy chủ sử dụng giao thức SMB
khác, hỗ trợ in qua mạng …
2. Các phiên bản bị ảnh hưởng
- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012
- Windows Server 2016
3. Kịch bản chung của các kiểu tấn công
Bản chất tồn tại lỗ hổng CVE 2017 – 0016 là do phía client (máy nạn
nhân) đã không xử lý được gói tin phản hồi từ server độc hại sử dụng giao
 thức SMB. Vì vậy, kịch bản của cuộc tấn công sử dụng lỗ hổng CVE
2017 – 0016 thường sẽ phải qua một số giai đoạn.
Bước 1: Kẻ tấn công tạo lập một server lắng nghe kết nối và phản hồi lại
bằng các gói tin SMB ( trong đó có gói tin SMB độc hại)

Bước 2: Bằng nhiều cách thức tấn công có thể lừa nạn nhân truy cấp đến
server độc hại của mình như là chuyển hường , lừa đảo… từ đó kẻ tấn
công có thể khai thác được.

4. Phương pháp khai thác

- Một trong những phương pháp tấn công là tấn công chuyển hướng
(redirect to SMB) để thực hiện.
Các bước:
a. Phía server
Hệ điều hành : nhiệm vụ là cần phải chạy được file tấn côn ( win
10.py), lựa chọn hệ điều hành Linux có hộ trợ Python 3.
b. File win10.py
Win10.py là tên của file được hệ điều hành phía server chạy bằng ngôn
ngữ Python, khi chạy file này máy chủ server sẽ lắng nghe và phản hồi kết
nối SMB và trở thành Server độc hại.
File Win10.py sẽ đảm bảo các nhiệm vụ như sau:
- Mở cổng kết nối phía server để lắng nghe kết nối và phản hồi
- Khởi tạo các gói tin phản hổi trong quá trình kết nối giao thức SMB
- Tạo và gửi gói tin độc hại (SMB2 TREE_CONNECT), gây DoS phía
nạn nhân
- Cuối cùng thông báo khi việc tấn công thành công.
Khi khai thác thành công lỗ hổng, việc lắng nghe dữ liệu phản hồi trở
lại sẽ xảy ra 1 exception, dòng lệnh này bắt được exception đó và đẩy
ra một thông báo cho biết việc tấn công đã thành công.
 CVE 2017-0016 là một lỗ hổng nguy hiểm và hoàn toàn có thể bị khai thác
bằng nhiều cách khác nhau, dẫn đến tình trạng mất đi tính sẵn sàng của hệ
thống, gây thiệt hại cho tổ chức và cá nhân. Trong báo cáo mình đã trình bày
khá chi tiết về lỗ hổng này, cũng như một số cách thức để có thể phòng và
tránh được các dạng tấn công kiểu này. Mặc dù vậy, người dùng vẫn nên theo
dõi các thông tin liên quan để kịp thời có những biện pháp cập nhật nhất.