Chỉ vài ngày sau khi Microsoft cảnh báo khách hàng về việc một mã khai thác khiếm khuyết thư viện SSL của họ bị công khai trên Internet, một mã mới cho phép tấn công hệ thống giám sát an ninh nội bộ LSASS lại xuất hiện trên một website tiếng Pháp.

Theo thông báo trên địa chỉ www.k-otik.com, đoạn mã vừa được công bố có thể cho phép hacker từ xa phát động tấn công gây tràn bộ nhớ đệm trong dịch vụ LSASS (Local Security Authority Subsystem Service). Đoạn mã được tung ra hôm 24/4, nhưng theo những người đã phát hiện ra lỗ hổng này tại K-Otik, tin tặc chỉ có thể dùng nó để vô hiệu hóa các máy tính Windows sau khi đã có một số chỉnh sửa nhất định.

Microsoft cho biết, LSASS được dùng để xác thực người sử dụng trong môi trường nội bộ và môi trường chủ/khách. Dịch vụ này cũng có một số tính năng mà các tiện ích Active Directory sử dụng. Hacker nào khai thác được khiếm khuyết LSASS sẽ có thể tấn công từ xa và kiểm soát các máy tính chạy Windows 2000 và Windows XP. Theo Johannes Ullrich, Giám đốc công nghệ của Trung tâm quan sát biến động Internet SANS IIS, khác với sâu e-mail và virus, việc kích hoạt tình trạn tràn bộ đệm ở LSASS không đòi hỏi sự tương tác với người sử dụng.

SANS IIS đến nay chưa ghi nhận một vụ khai thác nào xảy ra đối với LSASS và cũng đồng ý với K-Otik rằng lỗ hổng này không đặt ra nguy cơ trực tiếp bởi vì nó cần phải bị chỉnh sửa trước khi tin tặc có thể sử dụng để tấn công các mạng máy tính. Trong khi đó, kể từ hôm 21/4, trung tâm này đã ghi nhận một số lẻ tẻ các vụ khai thác lỗi SSL được công bố tuần trước. Đây thường là những dấu hiệu báo trước cho các vụ khai thác liên tiếp sau đó của nhiều loại sâu và virus.

Microsoft đã có bản nâng cấp cho lỗi LSASS trong thông báo an ninh MS04-011, ngày 13/4, cùng với một loạt chương trình vá lỗi cho các vấn đề SSL. (Theo VNE)

Bài đã đưa: Mã khai thác Windows bị phát tán

Sửa lỗi bảo mật do các đoạn mã rò rỉ

Microsoft vừa nhận diện đoạn mã trên Internet có thể sử dụng để lợi dụng các lỗ hổng bảo mật đã được Microsoft công bố ngày 13 tháng Tư. Chúng tôi đang kiểm tra để tìm ra giải pháp giúp bảo vệ các khách hàng. Đặc biệt, theo các báo cáo, đoạn mã chủ định tấn công các lỗ hổng IIS PCT/SSL trên các máy chủ chạy Internet Information Services với cơ chế thẩm định quyền truy cập qua Secure Socket Layer. Lỗ hổng bảo mật này đã được đề cập trong bản sửa lỗi MS04-011. Các khách hàng đã cập nhật bản sửa lỗi MS04-011 tạm thời chưa phải lo ngại với đoạn mã phá hoại này.

Microsoft nhìn nhận các báo cáo này đáng tin cậy và nghiêm trọng và đang khuyến khích khách hàng ngay lập tức cài đặt bản sửa lỗi MS04-011 cũng như các bản sửa lỗi nghiêm trọng khác.

Các khách hàng còn đang trong quá trình cài thử bản sửa lỗi MS04-011 nên nhanh chóng, ngay lập tức thực hiện các bước hướng dẫn chi tiết khắc phục lỗ hổng PCT/SSL trong MS04-011. Thêm bào đó, MS đã đưa ra hướng dẫn trong KB187498 tại http://support.microsoft.com/default.aspx?scid=kb;en-us;187498 với những thông tin chi tiết về SSL và làm thế nào để không kích hoạt PCT mà chưa cần cài bản sửa lỗi MS04-011

 

Chúng tôi mong muống nhận thêm được những khai thác và những đoạn mã bằng chứng cho việc lợi dụng các lỗ hổng bảo mật mà chúng tôi đã và sẽ tiếp tục cảnh báo trong tháng Tư 2004, bao gồm cả các ví dụ về virus và sâu máy tính.

• If you are using a home computer or a non-Web server, you should install the update from Windows Update to help ensure that your systems are not at risk.

• If you have installed and deployed Security Update MS04-011, you are not at risk for this issue.

• All programs that use SSL could be affected. Although SSL is generally associated with Internet Information Services by using HTTPS and port 443, any service that implements SSL on an affected platform is likely to be vulnerable. These services include, but are not limited to, Microsoft Internet Information Services 4.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (included with SQL Server™ 2000), and any third-party programs that use PCT. SQL Server 2000 is not vulnerable because it specifically blocks PCT connections.

• If you have deployed Windows XP or Windows 2000 and enabled SSL, you are at risk.

• If you have deployed Windows Server™ 2003 and enabled PCT in SSL, you are at risk.

• If you are still evaluating and testing Security Update MS04-011, you should immediately implement the mitigation steps detailed on this page.

Mitigation Steps for Organizations

Microsoft has tested the following workarounds for PCT/SSL vulnerability. Although these workarounds will not correct the underlying vulnerability, they can help block known attack vectors. When a workaround reduces functionality, it is identified below.

Disable PCT support through the registry

This workaround is fully documented in Microsoft Knowledge Base Article 187498. The article is summarized as follows:

The following procedure disables the PCT 1.0 protocol, preventing the affected system from negotiating its use.

Caution   Using Registry Editor incorrectly can cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that problems resulting from the incorrect use of Registry Editor can be solved. Use Registry Editor at your own risk. Always back up the registry before you edit it.

Note   For information about how to edit the registry, view the "Changing Keys And Values" Help topic in Registry Editor (Regedit.exe) or the "Add and Delete Information in the Registry" and "Edit Registry Data" Help topics in Regedt32.exe.

1. Click Start, click Run, and then type:
   regedit32

2. Click OK.

3. In Registry Editor, locate the following registry key:

   HKey_Local_MachineSystemCurrentControlSetControl

   SecurityProvidersSCHANNELProtocolsPCT 1.0Server

4. On the Edit menu, click Add Value to create a new REG_BINARY value called "Enabled" in the Server subkey.

5. In the Data Type list, click REG_BINARY.

6. In the Value Name text box, type:
   Enabled

7. Click OK.
   Note   If this value is already present, double-click the value to edit its current value, and then go to step 8.

8. In the Binary Editor, set the new keys value to equal 0 by typing the following:
   00000000

9. Click OK, and then restart the system.
   Note To enable PCT, change the value of the Enabled registry key to 00000001, and then restart the system.

 

If you believe you have been attacked by someone seeking to exploit the issues addressed in any Microsoft security bulletin, contact Microsoft Product Support Services for support or contact local law enforcement authorities. You can contact Product Support Services in North America by using the PC Safety line (1866-PCSAFETY). International customers can contact Product Support Services by using any method found at: http://support.microsoft.com. The introduction of malicious code is a criminal act, and Microsoft will work closely with law enforcement agencies to find the individual(s) responsible.

 

Impact on Home Users

If you have already installed Security Update MS4-011, you are not affected by this issue. Only Web servers are affected. As always, it is wise to take appropriate precautions to keep your computer protected.

• Take 3 Steps to Help Ensure Your PC Is Protected

Be assured that Microsoft is committed to helping you maintain a safe computing environment. We will update this page as new information and guidance about how to address this issue becomes available.

XIN TRUY CẬP http://www.microsoft.com/technet/security/ ĐỂ CÓ CÁC THÔNG TIN CẬP NHẬT NHẤT VỀ CẢNH BÁO NÀY.

Nếu bạn có câu hỏi liên quan tới bản sửa lỗi hay các hành động cần thiết sau khi đã đọc những thông tin trên đây, xin liên hệ với dịch vụ hỗ trợ khách hàng của MS Việt nam: vietpss@microsoft.com hoặc điện thoại +844-826-8838.