VIET ARROW

"Windows Vista/7: SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa lên blog bảo mật Seclists.org. Trong đó, Gaffie cho biết cuộc tấn công nhằm vào lỗi xuất phát từ System Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và Windows Server 2008. Các phiên bản trước đó như XP và 2000 sử dụng SMB 1 sẽ không bị ảnh hưởng.

Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High" chứa đựng một ký tự "&". Cuộc tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN) của Windows.

Microsoft tự tin đưa ra phản hồi với Internetnews.com xác nhận lỗi không ảnh hưởng lên Windows 7 khi được thông báo thông tin. "Mặc dù hiện chúng tôi tiếp tục kiểm tra nhưng chúng tôi có thể xác nhận rằng Windows 7 không bị ảnh hưởng".

Lỗi zero-day hay 0-day này có thể ảnh hưởng Windows 7 càng được khẳng định khi Internet Storm Center (ISC) cho rằng ngày hôm nay lỗi ảnh hưởng lên các phiên bản hệ điều hành Windows 7/Vista/Server 2008 (Windows 2000 và XP không bị ảnh hưởng) còn nhóm hacker "The H" của Đức thì xác nhận lỗi có thể reboot (khởi động lại hệ thống) từ xa hệ thống Windows Vista, không ảnh hưởng trên Windows 7. 

Gaffie cho biết rằng mã khai thác có tỉ lệ thành công là 50/50 và lý do có thể xuất phát từ việc các hệ thống không dùng driver SMB giống nhau.

Theo ISC, việc khai thác tấn công lỗi không cần chứng thực, chỉ cần chia sẻ tập tin được cho phép với 1 gói (packet) để tạo một "màn hình xanh chết chóc" (BSOD). ISC cũng khuyến cáo nên lọc dữ liệu từ cổng (port) TCP 445 bằng tường lửa.

Các thành viên trong website về hack và bảo mật Defcon cho rằng mã khai thác lỗi không thể thực thi mã tùy ý nhưng lại cho phép kẻ tấn công làm treo hệ thống Windows 7 lẫn Windows Vista SP1. Điều này trùng khớp với thông tin từ blog Gaffie công bố khi bị tấn công, hệ thống sử dụng Windows 7 hay Vista và Windows Server 2008 sẽ xuất hiện "màn hình xanh chết chóc" (blue screen of death - BSOD).

Đây không phải là lần đầu tiên phiên bản Windows 7 bị "đe dọa", trước đó đã có lỗi treo hệ thống liên quan đến câu lệnh chkdsk (xem bài "Windows 7 RTM có lỗi nguy hiểm"). Các chuyên gia bảo mật lo ngại mã tấn công của Gaffie sẽ được "biến tấu" để cho ra mã tấn công hoàn chỉnh hơn nhằm chiếm quyền điều khiển hệ thống dùng Windows 7.

Giải pháp tạm thời

Hiện tại, người dùng sử dụng các phiên bản hệ điều hành Windows Vista/7/Server 2008 có thể lọc dữ liệu từ cổng TCP 445 bằng tường lửa (firewall) hoặc khóa cổng SMB theo cách như sau:

- Để khóa SMB 3.0 trên các hệ thống Windows Vista hay Windows Server 2008 (có thể áp dụng trên Windows 7) mà chúng thuộc dạng "máy khách" (client), chạy câu lệnh sau:

sc config lanmanworkstation depend= bowser/mrxsmb10/nsi

sc config mrxsmb20 start= disabled

Lưu ý giữ khoảng cách phía sau dấu "=".

Câu lệnh kích hoạt lại SMB 2.0 trên hệ thống "máy khách":

sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

sc config mrxsmb20 start= auto

- Về phía hệ thống máy chủ (server), bạn cần phải chỉnh sửa registry nên tốt nhất hãy thực hiện sao lưu hệ thống registry trước.

Vào registry bằng cách gõ "regedit" trong hộp thoại Run, tìm đến thư mục:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters

Tạo một REG_DWORD mới có tên "Smb2" (không bao gồm dấu ngoặc kép). Thiết lập như sau:

Value name: Smb2
Value type: REG_DWORD
0 = disabled
1 = enabled

Đặt giá trị là 0 để khóa SMB 2 hoặc sửa lại là 1 nếu cần kích hoạt lại SMB 2. Khởi động lại server để hoàn tất. Người dùng có thể liên hệ Microsoft miễn phí khi có thắc mắc về các vấn đề bảo mật trong hệ thống sử dụng Windows tại đây.

THANH TRỰC tổng hợp