Nhóm tin tặc Shadow Brokers khai thác lỗ hổng nào trên hệ điều hành Windows?

Cập nhật ngày: 11/05/2017
        Xem với cỡ chữ    

(ictdanang) - Sở Thông tin và Truyền thông TP Đà Nẵng đã chính thức có công văn khuyến cáo, gửi đến các cơ quan, tổ chức và đơn vị trên địa bàn về hành vi của Nhóm tin tặc có danh xưng là Shadow Brokers.

Theo đó, để ngăn chặn và phòng tránh các nguy cơ gây mất an toàn, an ninh thông tin; các cơ quan, tổ chức và đơn vị trên địa bàn cần cập nhật ngay  phiên bản mới nhất của các chương trình diệt virus, phát hiện và xử lý các mã thực thi do tin tặc tấn công vào hệ thống.

Thực hiện sao lưu dữ liệu định kỳ: Sử dụng các ổ đĩa lưu trữ ngoài như ổ cứng ngoài, ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính. Đảm bảo khi sao lưu, máy tính trong trạng thái được bảo vệ an toàn, không bị nhiễm virus.
Sau khi sao lưu, cất giữ, bảo quản tốt các thiết bị lưu trữ.

Không sử dụng thiết bị,
ổ đĩa lưu trữ ngoài khi xác định máy tính có dấu hiệu bị tấn công (thâm nhập), hay bị nhiễm virus để chống lây lan mã độc.

Khuyến cáo trên được đưa ra sau khi Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã có cấp báo về phương thức tấn công, khai thác hệ thống mới của Nhóm tin tặc Shadow Brokers nói trên.


Một trong các công cụ tấn công được chính Shadow Brokers công bố có tên là Eternalromance. Công cụ này khai thác hệ thống Windows thông qua các cổng TCP 445 và 139.

- Nguồn ảnh minh họa:  www.thehackernews.com

Được biết, vào ngày 14/4/2017, Nhóm tin tặc này tuyên bố đã đánh cắp được một bộ dụng cụ gián điệp khi tấn công thành công vào hệ thống Cơ quan An ninh mạng quốc gia Hoa Kỳ (NSA) và khai thác các dữ liệu. Shadow Brokers công khai công bố trên website chuyên về mã nguồn mở Github về bộ công cụ này.

Bộ công cụ này giúp khai thác bất kỳ hệ thống nào sử dụng các phiên bản của hệ điều hành Windows (ngoại trừ Windows 10 và Windows Server 2016) thông qua các lỗ hổng bảo mật chưa được khai thác.

Các lỗ hổng của hệ điều hành Windows đã được công bố gồm:

EternalBlue (MS17-010), EmeraldThread (MS10-06),
EternalChampion (CVE- 2017-0146 và CVE-2017-0147).
ErraticGopher (lỗ hổng trên Windows Vista – không được hỗ trợ),
EsikmoRoll (MS14-068), EternalRomance (MS17-010),
EducatedScholar (MS09-050), EternalSynergy (MS17-010)
và  Eclipsed Wing (MS08-067).

“Lỗ hổng này có thể gây ra các nguy cơ mất an toàn thông tin trên diện rộng tại Việt Nam cũng như tại các cơ quan Nhà nước trên địa bàn thành phố Đà Nẵng” ông Trần Ngọc Thạch, Phó Giám đốc Sở Thông tin và Truyền thông TP nhìn nhận.

Các phân tích cho thấy, Nhóm tin tặc Shadow Brokers đã sử dụng phương thức tấn công qua khai thác lỗ hổng zero-day (CVE-2016-6366) ExtraBacon qua giao thức SNMP – giao thức ứng dụng trong phần mềm Cisco ASA cho phép tin tặc không cần xác thực từ xa để khởi động lại hệ thống hoặc thực thi mã tùy ý, từ đó chiếm quyền kiểm soát thiết bị.

Một trong các công cụ tấn công đã được công bố có tên là Eternalromance. Công cụ này khai thác hệ thống Windows thông qua các cổng TCP 445 và 139.

“Chúng tôi đề nghị, đối với hệ thống sử dụng hệ điều hành Windows (từ Windows server 2000 đến Windows server 2012, Windows XP, Windows Vista, Windows 7, Windows 8,…) nhanh chóng rà soát và cập nhật các bản vá lỗi được cảnh báo trên tại Website chính thức của công ty Microsoft. Đối với hệ thống sử dụng các thiết bị của Cisco, cập nhật các bản vá lỗi liên quan đến lỗ hổng zero-day (CVE-2016-6366)” – ông Thạch phân tích thêm.

Thanh Liêm

In Quay lại chia sẻ bài viết
Từ khóa:

Các tin khác