Lỗ hổng Zerologon là gì, vì sao doanh nghiệp Việt phải vá nó ngay lập tức?

Tuần trước, Cơ quan Bảo vệ Cơ sở hạ tầng và An ninh mạng (CISA) đã phát đi thông báo khẩn cấp về sự tồn tại của lỗ hổng bảo mật có tên gọi Zerologon (CVE-2020-1472), yêu cầu tất cả các cơ quan liên bang phải cập nhật bản vá lỗi trước thứ 2 tuần này, nếu không sẽ bị coi là vi phạm luật liên bang.

Cảnh báo của Mỹ ngay lập tức khiến nhiều nước quan tâm, trong đó theo đánh giá sơ bộ của Cục An toàn thông tin (Cục ATTT, Bộ TT&TT), nhiều cơ quan, tổ chức của Việt Nam đặc biệt là ngân hàng, tập đoàn, doanh nghiệp sẽ dễ bị ảnh hưởng bởi lỗ hổng này.

Đến đầu tháng 9/2020, một số mã khai thác đã được công khai trên Internet. Những mã khai thác này có thể sử dụng để tấn công vào máy chủ Domain Controller qua đó kiểm soát hệ thống thông tin của các cơ quan tổ chức trong những chiến dịch tấn công nguy hiểm.

Vậy Zerologon là gì, nó có mức độ nguy hiểm đến đâu? Đây là một lỗ hổng được đánh giá 10/10 trên thang điểm CvSS theo chuẩn định mức nguy cấp bảo mật. Nghĩa là, Zerologon cực kỳ nguy hiểm.

Lỗ hổng khai thác một giao thức có tên gọi Netlogon trên Windows Server 2008 trở đi, qua đó kẻ tấn công chưa được xác thực có thể chiếm quyền quản trị của Domain Controller và nắm toàn bộ Active Directory.

Active Directory có thể chứa nhiều thông tin nhạy cảm của mạng.

Hiểu đơn giản, Domain Controller giống như người bảo vệ xác thực danh tính của người dùng ra vào mạng với cấp độ cao nhất là quyền quản trị (admin), còn Active Directory giống như thư viện lưu trữ toàn bộ hồ sơ nhân viên. Netlogon là giao thức phục vụ việc xác thực danh tính này.

Lỗ hổng ở đây là, Netlogon sử dụng chuẩn mã hóa AES để tạo ra khóa truy cập ngẫu nhiên vào mạng, nhưng nó lại tạo ra giá trị ban đầu mà tất cả đều bằng 0 (zeros). Với mỗi 256 lần khởi tạo khóa, trung bình sẽ có một lần tất cả các giá trị đều bằng 0. Do đó lỗ hổng này còn được gọi là Zero kết hợp với Netlogon, ta được Zerologon.

Bởi không hề có giới hạn nào cho số lần đăng nhập thử vào hệ thống mà một máy trạm có thể làm, do đó kẻ tấn công có thể lợi dụng thời điểm thích hợp để xâm nhập vào hệ thống mà người quản trị viên không hề hay biết.

Theo chuyên gia an ninh mạng Tom Tervoort của công ty Secura, việc tấn công có thể được hacker thực hiện ở bất cứ máy tính cá nhân trong mạng nào chỉ trong vòng vài giây bằng dưới 100 dòng lệnh Python. Đây là một ngôn ngữ lập trình rất cơ bản sắp được đưa vào chương trình học của học sinh lớp 11.

Hiểu một cách đơn giản, toàn bộ tài nguyên thông tin của cơ quan, doanh nghiệp lúc này sẽ rơi vào tay hacker. Nếu là một ngân hàng, chúng có thể tắt hoạt động của hệ thống để gây thiệt hại diện rộng. Ngoài ra, quyền truy cập admin vào Active Directory có thể giúp kẻ tấn công trích xuất dữ liệu và các thông tin nhạy cảm của người dùng để từ đó tống tiền hoặc sử dụng vào mục đích xấu khác.

Mô tả dùng ngôn ngữ lập trình Python để tấn công khai thác lỗ hổng Zerologon.

Do mức độ nghiêm trọng của lỗ hổng, Microsoft đã tung ra bản vá cập nhật từ 11/8 nhưng bản vá hoàn chỉnh chỉ có vào quý I năm sau. Bản vá trước mắt sẽ đưa ra cảnh báo cho quản trị viên biết về những truy cập bất thường ở tất cả thiết bị trong hệ thống. Đến bản vá thứ hai mới bắt tất cả các thiết bị dùng Windows và không dùng Windows phải sử dụng thủ tục gọi hàm từ xa đến Netlogon, nhìn chung là an toàn hơn.

Vì vậy, cho đến lúc đó, các cơ quan tổ chức Việt Nam hiện được khuyến cáo liên tục tra soát đăng nhập (log) của các máy mạng trong hệ thống, phát hiện dấu hiệu bất thường và ngăn chặn kịp thời hoặc thông báo cho cơ quan chức năng.

Chưa có báo cáo cụ thể về những trường hợp lỗ hổng Zerologon bị khai thác, nhưng Cục ATTT cho biết số vụ tấn công vào các hệ thống thông tin Việt Nam trong tháng 8 có xu hướng giảm 0,77% so với tháng 7, xuống 517 vụ. Số lượng địa chỉ IP Việt Nam nằm trong các mạng botnet cũng giảm 0,03% so với tháng trước đó, đạt 2.013.867 địa chỉ.

Phương Nguyễn