Mới đây Sở TT&TT tỉnh Đắk Nông đã gửi Công văn số 477/STTTT-CNTT về việc cảnh báo lỗ hổng nghiêm trọng trong tiện ích tìm kiếm trên hệ điều hành Windows (tiện ích Windows Search). Đây là Công văn gửi đến Văn phòng Tỉnh ủy; các Sở, Ban, Ngành; và UBND các huyện, thị xã trên địa bàn tỉnh Đắk Nông.

z1-dak-nong-canh-bao-lo-hong-bao-mat-tim-kiem-windows-search.jpg

Theo đó Sở TT&TT tỉnh Đắk Nông đề nghị các cơ quan, đơn vị rà soát hệ thống CNTT của cơ quan, đơn vị mình theo nội dung Công văn số 374/CATTT-TĐQLGS của Cục An toàn Thông tin thuộc Bộ TT&TT.

Trước đó ngày 14/7/2017, Cục An toàn thông tin gửi Công văn 374 tới đơn vị chuyên trách CNTT của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; các tập đoàn kinh tế, tổng công ty Nhà nước và các tổ chức tài chính ngân hàng.

Trong Công văn 374 nêu rõ, ngày 11/7/2017 Microsoft đã cập nhật thông tin về lỗ hổng cho phép thực thi mã lệnh từ xa nằm trong tiện ích tìm kiếm trên các máy tính chạy hệ điều hành Windows. Khi khai thác lỗ hổng này kẻ tấn công có thể kiểm soát được hệ thống, sau đó kẻ tấn công có thể cài đặt các phần mềm độc hại, có thể xem hoặc thay đổi, xóa dữ liệu trên máy tính bị tấn công, hoặc tạo thêm một tài khoản mới với đầy đủ quyền của người sử dụng.

Lợi dụng việc các máy tính mở cổng dịch vụ SMB (dịch vụ chia sẻ file qua mạng trên các máy tính chạy hệ điều hành Windows, và thường được bật mặc định khi cài hệ điều hành), kẻ tấn công có thể gửi thông điệp giả mạo tới tiện ích Windows Search nêu trên thông qua dịch vụ SMB.

Nếu các máy tính bị tấn công chưa được cập nhật bản vá lỗ hổng Windows Search, kẻ tấn công có thể dễ dàng thực thi mã lệnh từ xa, sau đó tấn công leo thang và chiếm quyền điều khiển hệ thống đích. Khi một máy tính trong hệ thống mạng bị tấn công, việc thực hiện tấn công sang máy tính khác là rất dễ dàng thông qua dịch vụ SMB.

Thời gian qua đã có nhiều cuộc tấn công lợi dụng cơ chế chia sẻ file của dịch vụ SMB, ví dụ như các cuộc tấn công sử dụng phần mềm độc hại tống tiền WannaCry, Petya; và các cơ quan chức năng cũng đã có nhiều cảnh báo và khuyến nghị về việc này.

Tuy nhiên từ đầu tháng 7, hệ thống của Cục An toàn thông tin đã ghi nhận tại Việt Nam có ít nhất 30.327 IP vẫn đang mở cổng dịch vụ SMB (cổng 445) trên mạng Internet.

Vì thế những cảnh báo về việc rà soát lỗ hổng và cập nhật bản vá Windows gửi tới các cấp cơ sở như ở Đắk Nông là rất cần thiết trong lúc này. Điều đáng ghi nhận là thời gian gần đây Sở TT&TT tỉnh Đắk Nông thường có những cảnh báo khá kịp thời trong tình hình chung.

Ví dụ cách đây 1-2 tháng, Sở TT&TT tỉnh Đắk Nông cũng đã có công văn hỏa tốc số 339/STTTT-CNTT gửi các sở, ban, ngành, UBND các huyện, thị xã trên địa bàn cảnh báo lỗ hổng nghiêm trọng trong một số chip Intel và dòng máy tính HP.