Microsoft và SerNet phát hành bản vá cho lỗ hổng Badlock
15:21 | 26/04/2016 | LỖ HỔNG ATTT
Ngày 12/4/2016, hãng phần mềm nổi tiếng Microsoft và công ty SerNet đã phát hành bản vá cho lỗ hổng Badlock trong phần mềm mã nguồn mở Samba.
Samba là một bộ phần mềm mã nguồn mở, cung cấp các dịch vụ in và chia sẻ tệp tin cho người dùng sử dụng giao thức SMB/CIFS (server messageblock/common.Internet.file sysem) giao thức chia sẻ dữ liệu qua mạng) chạy trên hầu hết các hệ điều hành phổ biến hiện nay như: Windows, UNIX, Linux, IBM System 390 và OpenVMS.
Samba cho phép hệ điều hành không phải Windows như GNU/Linux hoặc Mac OS X giao tiếp với cùng giao thức mạng, do đó người dùng có thể truy cập các thư mục hoặc tệp tin chia sẻ trong mạng từ hệ điều hành Windows.
Stefan Metzmacher, lập trình viên thuộc Samba Core Team của SerNet, đã phát hiện phần mềm Samba tồn tại lỗ hổng có thể bị khai thác để thực hiện tấn công man-in-the-middle (MITM) và tấn công từ chối dịch vụ. SerNet đã đặt tên lỗ hổng này là Badlock, đồng thời chia sẻ thông tin về lỗ hổng qua việc tạo một website và logo cho lỗ hổng này, nhằm giúp người dùng nhận thức về Badlock và quảng cáo thêm cho các dịch vụ của mình.
Tuy nhiên, nhiều chuyên gia đã chỉ trích SerNet về tiết lộ các thông tin này vì cho rằng tin tặc có thể lợi dụng điều này để khai thác lỗ hổng trước khi bản vá được phát hành. Tuy nhiên, vấn đề đã không nghiêm trọng so với dự đoán.
Hãng Microsoft đã đánh giá lỗ hổng ở mức "quan trọng" và cũng lưu ý lỗ hổng này ảnh hưởng đến các giao thức SAM và LSAD trong một khuyến cáo của hãng tới khách hàng.
Microsoft cho biết, lỗ hổng này có thể cho phép leo thang đặc quyền khi tin tặc thực hiện tấn công MITM và hạ cấp mức xác thực các kênh SAM và LSAD để mạo danh xác thực người dùng hợp pháp.
Bên cạnh đó, nếu tin tặc có thể chặn lưu lượng mạng của quản trị, chúng có thể thay đổi quyền người dùng trên các tập tin được lưu trữ trên một máy chủ Samba tiêu chuẩn, xem hoặc thay đổi các thông tin bí mật trong cơ sở dữ liệu của AD (bao gồm các hàm băm mật khẩu người dùng) trên máy chủ Samba AD.
Theo dự đoán, PoC - mã khai thác lỗ hổng sẽ sớm được phát triển trong thời gian tới. SerNet cho biết, hãng Samba đã có một số PoC, nhưng chưa được công bố trong thời gian tới.
Samba định danh lỗ hổng này là: CVE-2016-2118, còn hãng Microsoft lại cho rằng lỗ hổng này là CVE-2016-0128. Samba chỉ định danh cho lỗ hổng Badlock các CVE liên quan là CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114 và CVE-2016-2115.
Lỗ hổng này ảnh hưởng đến các phiên bản Samba 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6, 4.4.0, được vá trong phiên bản 4.2. 10 / 4.2.11, 4.3.7 / 4.3.8 và 4.4.1 / 4.4.2. Microsoft đã vá các lỗi trong Windows trong bản cập nhật MS16-047.
Ngoài MS16-047, Microsoft phát hành 14 bản cập nhật cũng nằm trong bản vá tháng 3/2016, xử lý hàng chục lỗ hổng nghiêm trọng và quan trọng, ảnh hưởng hệ điều hành Windows, trình duyệt Internet Explorer, Edge, Office, .NET và Adobe Flash Player. Theo ghi nhận từ Microsoft, chưa có bất kỳ cuộc tấn công nào khai thác thành công các lỗ hổng này.
