Trang chủ » TheHackerNews » Cách khắc phục lỗ hổng bảo mật nghiêm trọng trên Microsoft Windows 10, 11
TheHackerNews

Cách khắc phục lỗ hổng bảo mật nghiêm trọng trên Microsoft Windows 10, 11

Tháng Bảy 26, 2021
3 Views

Người dùng Microsoft Windows 10 và Windows 11 có nguy cơ bị một lỗ hổng mới chưa được vá gần đây đã bị tiết lộ công khai.

Như chúng tôi đã báo cáo vào tuần trước, lỗ hổng bảo mật – Sam nghiêm trọng – cho phép những kẻ tấn công có quyền cấp thấp truy cập vào các tệp hệ thống Windows để thực hiện một cuộc tấn công Pass-the-Hash (và có khả năng là Silver Ticket).

Những kẻ tấn công có thể khai thác lỗ hổng này để lấy mật khẩu băm được lưu trữ trong Trình quản lý tài khoản bảo mật (SAM) và Sổ đăng ký, và cuối cùng chạy mã tùy ý với các đặc quyền HỆ THỐNG.

Lỗ hổng SeriousSAM, được theo dõi là CVE-2021-36934, tồn tại trong cấu hình mặc định của Windows 10 và Windows 11, đặc biệt do cài đặt cho phép quyền ‘đọc’ đối với nhóm người dùng tích hợp chứa tất cả người dùng cục bộ.

Do đó, người dùng cục bộ cài sẵn có quyền truy cập để đọc các tệp SAM và Sổ đăng ký, nơi họ cũng có thể xem các hàm băm. Khi kẻ tấn công có quyền truy cập ‘Người dùng’, chúng có thể sử dụng một công cụ như Mimikatz để có quyền truy cập vào Hệ thống đăng ký hoặc SAM, lấy cắp các hàm băm và chuyển đổi chúng thành mật khẩu. Xâm nhập người dùng Miền theo cách đó sẽ cung cấp cho những kẻ tấn công các đặc quyền nâng cao trên mạng.

Do chưa có bản vá chính thức từ Microsoft nên cách tốt nhất để bảo vệ môi trường của bạn khỏi lỗ hổng SeriousSAM là thực hiện các biện pháp tăng cường.

Giảm nhẹ SAM nghiêm trọng

Theo Dvir Goren, CTO tại CalCom, có ba biện pháp làm cứng tùy chọn:

  1. Xóa tất cả người dùng khỏi nhóm người dùng cài sẵn – đây là một nơi tốt để bắt đầu, nhưng sẽ không bảo vệ bạn nếu thông tin đăng nhập Quản trị viên bị đánh cắp.
  2. Hạn chế các tệp SAM và quyền đăng ký – chỉ cho phép truy cập dành cho Quản trị viên. Điều này, một lần nữa, sẽ chỉ giải quyết một phần của vấn đề, vì nếu kẻ tấn công đánh cắp thông tin đăng nhập của Quản trị viên, bạn vẫn sẽ dễ bị tổn thương bởi lỗ hổng này.
  3. Không cho phép lưu trữ mật khẩu và thông tin đăng nhập để xác thực mạng – quy tắc này cũng được khuyến nghị trong Điểm chuẩn CIS. Bằng cách thực hiện quy tắc này, sẽ không có băm nào được lưu trữ trong SAM hoặc sổ đăng ký, do đó giảm thiểu hoàn toàn lỗ hổng này.

Khi sử dụng GPO để triển khai, hãy đảm bảo rằng Đường dẫn giao diện người dùng sau được Bật:

Cấu hình máy tính Chính sách Cài đặt Windows Cài đặt bảo mật Chính sách cục bộ Tùy chọn bảo mật Truy cập mạng: Không cho phép lưu trữ mật khẩu và thông tin đăng nhập để xác thực mạng

Mặc dù thực tế là khuyến nghị cuối cùng cung cấp một giải pháp tốt cho SeriousSAM, nhưng nó có thể tác động tiêu cực đến quá trình sản xuất của bạn nếu không được kiểm tra đúng cách trước khi nó được đẩy. Khi cài đặt này được bật, các ứng dụng sử dụng các tác vụ đã lên lịch và cần lưu trữ cục bộ hàm băm của người dùng sẽ không thành công.

Giảm thiểu SAM nghiêm trọng mà không có nguy cơ gây ra thiệt hại cho sản xuất

Sau đây là các khuyến nghị của Dvir để giảm thiểu mà không gây ra thời gian chết:

  1. Thiết lập một môi trường thử nghiệm sẽ mô phỏng môi trường sản xuất của bạn. Mô phỏng tất cả các phần phụ thuộc có thể có của mạng của bạn một cách chính xác nhất có thể.
  2. Phân tích tác động của quy tắc này đối với môi trường thử nghiệm của bạn. Bằng cách này, nếu bạn có các ứng dụng dựa vào hàm băm được lưu trữ cục bộ, bạn sẽ biết trước và ngăn chặn thời gian ngừng sản xuất.
  3. Đẩy mạnh chính sách nếu có thể. Đảm bảo máy mới cũng cứng và cấu hình không bị trôi theo thời gian.

Ba nhiệm vụ này rất phức tạp và đòi hỏi nhiều nguồn lực và chuyên môn nội bộ. Do đó, khuyến nghị cuối cùng của Dvir là tự động hóa toàn bộ quá trình làm cứng để tiết kiệm nhu cầu thực hiện các giai đoạn 1, 2 và 3.

Đây là những gì bạn sẽ đạt được từ một Công cụ tự động hóa cứng:

  • Tự động tạo báo cáo phân tích tác động chính xác nhất có thể – các công cụ tự động hóa tăng cường ‘học’ các yếu tố phụ thuộc vào sản xuất của bạn và báo cáo cho bạn tác động tiềm ẩn của từng quy tắc chính sách.
  • Tự động thực thi chính sách của bạn trên toàn bộ quá trình sản xuất của bạn từ một điểm kiểm soát – bằng cách sử dụng các công cụ này, bạn sẽ không cần phải thực hiện công việc thủ công, chẳng hạn như sử dụng GPO. Bạn có thể kiểm soát và chắc chắn rằng tất cả các máy của bạn đều được làm cứng.
  • Duy trì tư thế tuân thủ của bạn và giám sát máy móc của bạn trong thời gian thực – các công cụ tự động hóa tăng cường sẽ theo dõi tư thế tuân thủ của bạn, cảnh báo và khắc phục mọi thay đổi trái phép trong cấu hình, do đó ngăn chặn sai lệch cấu hình.

Các công cụ tự động hóa cứng sẽ tìm hiểu các yếu tố phụ thuộc trực tiếp từ mạng của bạn và tự động tạo báo cáo phân tích tác động chính xác. Một công cụ tự động hóa tăng cường cũng sẽ giúp bạn sắp xếp quá trình thực hiện và giám sát.

Content Protection by DMCA.com

Từ khoá:

Các bài liên quan
© Từ 2020 | GenVerge
Trang thông tin cho tín đồ công nghệ Việt Nam
Chính sách Bảo Mật & quyền Riêng Tư
Mạng lưới
GenVerge | Trang thông tin dành cho tín đồ công nghệ Việt Nam
Logo
Đăng ký
Liên hệ Admin để kích hoạt tài khoản Cộng Tác Viên
Quên mật khẩu