Một nhà nghiên cứu bảo mật đã tiết lộ chi tiết về một lỗ hổng quan trọng trong Microsoft Outlook mà hãng này đã tung ra bản vá lỗi chưa hoàn chỉnh tháng vừa rồi – khoảng 18 tháng sau khi lỗ hổng được báo cáo cho họ.

Lỗ hổng CVE-2018-0950 trên Microsoft Outlook có thể khiến hacker trộm các thông tin nhạy cảm bao gồm cả thông tin đăng nhâp Windows chỉ bằng cách dụ cho nạn nhân xem qua một email bằng Outlook, đơn giản chỉ cần có vậy.

Lỗ hổng này được phát hiện bởi Will Dormann ở CERT Coordination Center (CERT/CC), nó nằm bên trong cái cách mà Outlook hiển thi nội dung OLE, với định dạng RTF (Rich Text Format) nội dung OLE được chạy một cách tự động mà ko cần một thao tác nào, một kết nối SMB (Server Message Blocktự động được khởi tạo.

Hacker có thể lợi dụng lỗ hổng này bằng cách gửi cho nạn nhân một email với định dạng RTF chưa một bức ảnh (OLE object) được tải từ SMB server của hacker.

Khi mà Outlook tự động chạy nội dung OLE, nó sẽ tự động xác thực với SMB server của hacker qua giao thức SSO (single sign-on), các thông tin tài khoản đăng nhập sẽ đến được tay hacker có thể khiến cho hệ thống của bạn bị truy cập trái phép.

“Nó có thể rò rỉ thông tin về IP, tên miền, tài khoản và mật khẩu mã hóa. Nếu mật khẩu của bạn không phức tạp, hacker có thể Cr@ck được mật khẩu của bạn trong một nốt nhạc.”

Bản vá lỗi mà Microsoft đã tung ra để vá lỗi này chỉ ngăn chặn được việc Outlook tự động khởi tạo kết nối SMB khi xem mail ở định dạng RTF, nhưng các nhà nghiên cứu cho rằng nó không chặn được mọi loại tấn SMB.

“Điều quan trọng lúc này là dù đã có bản và lỗi, nạn nhân chỉ cách việc bị hack bởi một phát click chuột. Ví dụ bạn nhận được một mail có link bắt đầu với “\\” , chỉ cần ấn vào đó thôi coi như tiêu đời”.

Nếu bạn đã cài bản vá mới nhất từ Microsoft, ok thôi nhưng hacker vẫn có thể lợi dụng lỗ hổng đó. Vậy nên người dùng windows đặc biệt là các Quản trị mạng được khuyên làm theo các bước sau:

  • Cài bản cập nhật của Microsoft cho CVE-2018-0950 ,nếu chưa làm.
  • Chặn các cổng cụ thể (445 / tcp, 137 / tcp, 139 / tcp, cùng với 137 / udp và 139 / udp) được sử dụng cho các kết nối SMB.
  • Chặn kiểu xác thực NT LAN Manager (NTLM) Single Sign-on (SSO).
  • Luôn luôn sử dụng các mật khẩu phức tạp, không thể dễ dàng bị cr@ck ngay cả khi hacker có được chúng.
  • Quan trọng nhất, đừng dại mà click vào những liên kết khả nghi trong email.

 

 

 

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *