Các nhà nghiên cứu tại Preempt vừa phát hiện ra lỗ hổng mới trong giao thức Credential Security Support Provider (CredSSP), được Remote Desktop và WinRM sử dụng trong quá trình xác thực.
Phát hiện lỗ hổng mới trong giao thức Windows Remote Desktop
Kẻ tấn công sử dụng phương thức tấn công man-in-the-middle có quyền kiểm soát trong phiên làm việc có khả năng chạy mã từ xa trên máy chủ bị xâm nhập giả mạo như người dùng hợp pháp. Trên máy tính từ xa, một ứng dụng phổ biến sẽ thực hiện việc đăng nhập từ xa.
Lỗ hổng này có thể khiến các doanh nghiệp dễ bị tấn công bởi nhiều mối đe dọa, bao gồm di chuyển và lây nhiễm sang các máy chủ quan trọng hoặc các bộ điều khiển miền. Tính dễ tổn thương ảnh hưởng đến tất cả các phiên bản Windows, kể từ Windows Vista.
Roman Blachman, CTO và cũng là nhà đồng sáng lập Preempt chia sẻ về việc phát hiện lỗ hổng mới trong giao thức Windows Remote Desktop : "Đây là một trong những lỗ hổng lớn, mặc dù chưa có cuộc tấn công nào được phát hiện trong tự nhiên, tuy nhiên trong một vài trường hợp thực tế các cuộc tấn công sẽ có thể xảy ra". "Bước đầu tiên để ngăn ngừa mối đe dọa này là đảm bảo các máy trạm của bạn đã được vá đúng cách. Điều quan trọng là các tổ chức, doanh nghiệp sử dụng các giải pháp phản hồi mối đe dọa trong thời gian thực để giảm thiểu các mối đe dọa này".
Để bảo vệ chính mình, các doanh nghiệp nên đảm bảo máy trạm và máy chủ được vá đúng cách. Các chuyên gia IT cũng được khuyến cáo thực hiện thay đổi cấu hình để áp dụng bản vá để được bảo vệ. Chặn các cổng ứng dụng có liên quan (RDP, DCE/RPC) cũng có thể ngăn chặn được các cuộc tấn công.
Nếu bạn đang dùng Windows 10, tham khảo cách remote Desktop trên Windows 10 tại đây để up và tải dữ liệu từ các máy khác nhau trong cùng hoặc khác mạng nhé.
Còn với người dùng sử dụng Windows khác và trong cùng mạng LAN, tham khảo cách Remote Desktop qua lan ở đây để cùng nhau chia sẻ dữ liệu, file văn bản.
Preempt cũng cảnh báo các cuộc tấn công có thể được thực hiện theo nhiều cách khác nhau, thậm chí là sử dụng các giao thức khác nhau. Vì vậy nên hạn chế sử dụng các tài khoản đặc quyền và nên sử dụng các tài khoản không đặc quyền bất cứ khi nào có thể.
Microsoft đã nhanh chóng tung ra bản cập nhật Patch Tuedays cho Windows 7 và 8.1 tuy nhiên trong bản cập nhật này vẫn chưa thấy đề cập đến lỗ hơn trong giao thức Windows Remote Desktop được vá. Để biết chi tiết cụ thể hơn về bản cập nhật này, bạn có thể tìm hiểu qua bài viết bản cập nhật Patch Tuesday cho Windows 7 và 8.1có gì mới? mới nhất.