Người dùng Microsoft Windows 10 và Windows 11 đang có nguy cơ bị tấn công bởi một lỗ hổng bảo mật 0-day mới được công bố gần đây.
Theo đó, SeriousSAM – lỗ hổng bảo mật nghiêm trọng, có thể cho phép tin tặc không có đặc quyền trong hệ thống Windows tiến hành một cuộc tấn công Pass-the-Hash (và có khả năng là Silver Ticket).
Cụ thể, tin tặc có thể khai thác lỗ hổng bảo mật này để đánh cắp mật khẩu dưới dạng băm được được lưu trữ trong Trình quản lý tài khoản bảo mật (Security Account Manager – SAM) và trong Registry. Sau đó khởi chạy mã lệnh tuỳ ý dưới đặc quyền hệ thống (SYSTEM)
Lỗ hổng bảo mật SeriousSAM, có mã hiệu CVE-2021-36934, tồn tại trong cấu hình mặc định của Windows 10 and Windows 11, cấp quyền “read” cho tất cả các user local có sẵn trong hệ thống Windows.
Cụ thể, các user local dược cài đặt sẵn đều có thể truy cập để đọc các tệp SAM và Registry. Khi tin tặc có quyền truy cập vào hệ thống, chúng có thể sử dụng các công cụ như Mimikatz nhằm chiếm quyền truy cập vào Registry hoặc SAM, đánh cắp mật khẩu dưới dạng hàm băm và giải mã chúng thành mật khẩu. Xâm nhập vào hệ thống Domain và nâng đặc quyền hệ thống của tài khoản lên
Hiện tại, Microsoft vẫn chưa phát hành bản vá bảo mật cho lỗ hổng bảo mật này. Do đó, cách tốt nhất để bảo vệ hệ thống của mình bằng cách sử dụng các biện pháp tăng cường bên dưới:
Giảm nhẹ tác hại của mã độc SeriousSAM
Theo Dvir Goren, CTO tại CalCom, hiện có ba phương pháp giảm thiểu tác hại của lỗ hổng bảo mật SeriousSAM:
- Xoá hết tất cả user khỏi nhóm “built-in users”
- Hạn chế quyền truy cập vào các tệp SAM và Registry – chỉ cho phép truy cập đối với tài khoản Administrator. Tuy nhiên, nếu thông tin tài khoản Administrator bị đánh cắp, tin tặc vẫn có thể tiến hành khai thác lỗ hổng này
- Không cho phép lưu trữ mật khẩu và thông tin đăng nhập – Đây là quy tắc được khuyến nghị cuả CIS. Với quy tắc này, trong các tệp SAM và Registry sẽ không lưu trữ bất kỳ mật khẩu nào của người dùng, giúp giảm thiểu khả năng bị khai thác bởi lỗ hổng bảo mật này.
Khi triển khai bằng GPO, cần đảm bảo đường dẫn UI bên dưới đã được Enabled:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Do not allow storage of passwords and credentials for network authentication
Nguồn: THN.
