Một lỗ hổng mới đã được phát hiện trong Windows Deployment Services (WDS) của Microsoft. Lỗ hổng này cho phép kẻ tấn công làm sập máy chủ từ xa mà không cần tương tác hoặc xác thực của người dùng (Zero Click).
.jpg)
Lỗ hổng nhắm vào dịch vụ TFTP dựa trên UDP trong WDS, thậm chí nó có thể cho phép những kẻ tấn công dù không có kỹ năng cao vẫn có thể làm tê liệt cơ sở hạ tầng triển khai hệ điều hành của doanh nghiệp chỉ trong vài phút. Đáng chú ý là cuộc tấn công này lợi dụng lưu lượng mạng giả mạo, chưa được xác thực, khiến nó trở nên bí mật và khó phòng thủ bằng các biện pháp kiểm soát bảo mật truyền thống.
Lỗ hổng này không yêu cầu xác thực hoặc tương tác của người dùng, nó cho phép kẻ tấn công làm cạn kiệt bộ nhớ hệ thống từ xa bằng cách khai thác điểm yếu trong thiết kế về cách WDS xử lý các phiên TFTP dựa trên UDP trên cổng 69.
Nhà nghiên cứu bảo mật Zhiniang Peng đã giải thích trong bài phân tích của mình rằng: “Vấn đề cốt lõi là EndpointSessionMapEntry không áp đặt giới hạn về số lượng phiên. Do đó, kẻ tấn công có thể làm giả địa chỉ IP và số cổng của máy khách, liên tục tạo ra các phiên mới cho đến khi tài nguyên hệ thống cạn kiệt”.
Hàm “wdstftp!CClientContext::OnConnectionRequest” quản lý quy trình này, như được hiển thị trong đoạn mã sau:
.png)
Do máy chủ UDP không thể xác minh nguồn gốc của gói tin nên kẻ tấn công có thể giả mạo các gói tin có địa chỉ nguồn và cổng ngẫu nhiên, buộc máy chủ phải phân bổ quá nhiều bộ nhớ để xử lý một cách không giới hạn.
Trong môi trường thử nghiệm chạy Windows Server Insider Preview với 8GB RAM, nhà nghiên cứu Peng đã chứng minh rằng bằng cách liên tục gửi các gói UDP giả mạo đến cổng 69, mức tiêu thụ bộ nhớ có thể tăng nhanh lên đến 15GB chỉ trong vòng 7 phút, khiến toàn bộ hệ thống bị sập.
Kỹ thuật tấn công này cực kỳ dễ thực hiện, chỉ cần viết mã lệnh cơ bản trên Linux để tạo ra các gói tin giả mạo. Bên cạnh đó, Peng cũng lưu ý rằng “Việc sử dụng đa luồng có thể đẩy nhanh đáng kể cuộc tấn công”.
Lỗ hổng này gây ra mối đe dọa đáng kể cho các tổ chức sử dụng WDS để triển khai hệ điều hành dựa trên mạng vì nó cho phép kẻ tấn công phá vỡ hoàn toàn các dịch vụ khởi động PXE mà không cần bất kỳ xác thực hoặc yêu cầu quyền truy cập đặc quyền nào.
Windows Deployment Services được sử dụng rộng rãi trong các mạng công ty, trung tâm dữ liệu và các tổ chức giáo dục để triển khai hệ điều hành, điều này khiến lỗ hổng trở nên đặc biệt đáng lo ngại đối với các quản trị viên.
Lỗ hổng bảo mật này xuất hiện sau các lỗ hổng liên quan đến WDS trước đây, bao gồm lỗ hổng thực thi mã từ xa (CVE-2019-0603) đã được vá vào tháng 3/2019.
Hiện tại, chưa có chiến lược cho các tổ chức sử dụng WDS ngoài việc cân nhắc các giải pháp triển khai thay thế hoặc triển khai lọc mạng nghiêm ngặt để hạn chế quyền truy cập vào cổng 69.
Theo antoanthongtin.vn
