Professional Documents
Culture Documents
1. Tổng quan
- CVE 2017 – 0016 là một lỗ hổng gây từ chối trạng thái dịch vụ (DoS),
được công bố vào ngày 02 tháng 02 năm 2017. Lỗ hổng này tồn tại
mặc định trong nhiều phiên bản của hệ điều Windows, tác hại nghiêm
trọng đối với các phiên bản Windows server vì gây tình trạng DoS với
các hệ thống này ảnh hưởng rất lớn đến tổ chức, cũng như các cá nhân
muốn truy cập tại thời điểm đó.
- Lỗ hổng này là do việc xử lý không đúng các yêu cầu nhất định được
gửi bởi máy chủ SMB độc hại tới máy khách. Để khai thác lỗ hổng, kẻ
tấn công có thể sử dụng các phương pháp khác nhau như tấn công
chuyển hướng (redirectors), vector tấn công bổ xung, ..., có thể gây ra
ứng dụng SMB để kết nối với máy chủ SMB độc hại. Bản cập nhật
bảo mật giải quyết lỗ hổng bằng cách sửa lỗi cách ứng dụng khách
SMBv2 / SMBv3 của Microsoft xử lý các yêu cầu được tạo thủ công
đặc biệt.
SMB là gì?
Server Message Block protocol (SMB) hoạt động như một giao thức
mạng lớp ứng dụng sử dụng chủ yếu để cung cấp truy cập chia sẻ đến các
file, máy in và cổng nối tiếp và truyền thông hỗn hợp giữa các nút trên
mạng. Nó cũng cung cấp một cơ chế xác thực. Sau này khi SMB được kế
thừa bởi Microsoft thì hãng này đã biến nó thành một giao thức chia sẻ
file cực kỳ phổ biến trên các hệ điều hành của mình. Ngoài ra SMB còn
hỗ trợ một số tính năng : Tìm kiếm các máy chủ sử dụng giao thức SMB
khác, hỗ trợ in qua mạng …
2. Các phiên bản bị ảnh hưởng
- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012
- Windows Server 2016
3. Kịch bản chung của các kiểu tấn công
Bản chất tồn tại lỗ hổng CVE 2017 – 0016 là do phía client (máy nạn
nhân) đã không xử lý được gói tin phản hồi từ server độc hại sử dụng giao
thức SMB. Vì vậy, kịch bản của cuộc tấn công sử dụng lỗ hổng CVE
2017 – 0016 thường sẽ phải qua một số giai đoạn.
Bước 1: Kẻ tấn công tạo lập một server lắng nghe kết nối và phản hồi lại
bằng các gói tin SMB ( trong đó có gói tin SMB độc hại)
Bước 2: Bằng nhiều cách thức tấn công có thể lừa nạn nhân truy cấp đến
server độc hại của mình như là chuyển hường , lừa đảo… từ đó kẻ tấn
công có thể khai thác được.