Lỗ hổng CVE-2018-0950 cho phép kẻ xấu đánh cắp thông tin nhạy cảm, bao gồm cả thông tin đăng nhập Windows của người dùng, chỉ bằng cách lừa họ mở/xem một thư điện tử trong Microsoft Outlook (mà không cần thực hiện bất cứ một thao tác nào khác). Khi Outlook hiển thị nội dung OLD nằm ở xa của một bức thư định dạng Rich Text Format (RTF), ứng dụng sẽ tự động khởi tạo kết nối SMB. Kẻ xấu có thể lợi dụng điều đó bằng cách gửi một bức thư với định dạng RTF, trong đó chứa một hình ảnh (đối tượng OLE) nằm ở máy chủ SMB do chúng kiểm soát. Vì Microsoft Outlook tự động hiển thị nội dung OLE, nó sẽ tự động khởi tạo bước xác thực với máy chủ (do kẻ xấu kiểm soát) bằng giao thức SMB, với hình thức đăng nhập một lần (SSO) – tức là gửi tên người dùng và giá trị băm NTLMv2 của mật khẩu.
Nếu mật khẩu không đủ phức tạp, kẻ xấu có thể dò được mật khẩu từ giá trị băm trong một thời gian ngắn. Hình ảnh dưới đây mô tả cách Windows tự động gửi thông tin đăng nhập của người dùng tới máy chủ của kẻ xấu.
Dormann đã báo cáo về lỗ hổng này cho Microsoft vào tháng 11/2016 và đến tháng 4/2018, Microsoft mới đưa ra bản vá. Tuy nhiên, bản vá chỉ chặn Outlook tự động thiết lập kết nối SMB khi xem trước thư có định dạng RTF email. Nếu người dùng vẫn nhấn vào liên kết dạng UNC trong thư (có dạng \\), thì kết nối SMB vẫn được khởi tạo. Điều đó có nghĩa là bản vá của Microsoft không bảo vệ người dùng 100% (tin tặc vẫn có thể lợi dụng).
Vì thế, người dùng Windows, đặc biệt là những người quản trị hệ thống, được khuyến cáo thực hiện các công việc sau để ngăn chặn việc lợi dụng lỗ hổng:
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 23/05/2018
13:00 | 28/06/2018
07:00 | 24/05/2021
08:00 | 20/08/2018
10:00 | 11/09/2018
10:00 | 04/07/2019
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
15:00 | 26/07/2024
Ngày 20/7, cảnh sát Tây Ban Nha thông báo đã bắt giữ ba tin tặc được cho là thực hiện vụ tấn công mạng nhằm vào Tây Ban Nha và các nước thành viên khác trong Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) với các mục đích khủng bố.
16:00 | 20/06/2024
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS - hệ điều hành dành cho các sản phẩm NAS đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, trong đó có 11 lỗ hổng vẫn chưa được vá.
12:00 | 06/05/2024
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024