Bảo mật quan trọng hơn bao giờ hết — và ransomware ngày càng lớn và tồi tệ hơn bao giờ hết. Chỉ một tuần trôi qua mà không có một cuộc tấn công ransomware mới.
Một cách bạn có thể làm chậm, nếu không dừng lại, các cuộc tấn công như vậy là giữ cho các ứng dụng và hệ điều hành quan trọng của bạn luôn được cập nhật. Chỉ có một vấn đề nhỏ với điều đó. Các bản vá lỗi đó, đặc biệt là các bản vá lỗi Windows của Microsoft, có thể gây ra nhiều rắc rối hơn so với giá trị của chúng. Một doanh nghiệp để làm gì?
Lấy ví dụ, PrintNightmare. Những lỗ hổng bảo mật này trong dịch vụ Windows Print Spooler đủ lớn để ném một chiếc máy in HP thế hệ đầu tiên nặng 71 pound. Nhiều cuộc tấn công hiện đang diễn ra, cho phép xâm phạm không chỉ PC Windows 7 và 10 mà cả các máy chủ Windows của bạn. Đây là một lỗi lớn hay sao?
Nhưng xin chờ chút nữa. Nó không phải là một lỗi duy nhất. Đó thực sự là một cặp lỗ hổng bảo mật: CVE-2021-34527 và CVE-2021-1675, lỗ hổng sau đã được “sửa” trong bộ Bản vá thứ ba tháng 6 của Microsoft. Lỗi bộ đệm in này cho phép tin tặc có quyền hệ thống hạn chế trên một máy riêng lẻ để nâng cấp đặc quyền lên cấp quản trị viên. Lỗi LPE (nâng cấp đặc quyền cục bộ) này rất tệ, nhưng hầu như không phải là một cơn ác mộng. Tôi gọi nó là một lỗ hổng bảo mật “vá nó và quên nó đi”.
À, nhưng sau đó một cặp nhà nghiên cứu bảo mật đã tìm hiểu sâu hơn về Windows và tìm thấy một lỗi bộ đệm máy in khác: 34527. Họ nghĩ rằng họ vừa tìm thấy một góc độ khác vào năm 1675. Họ đã nhầm. Và không có bản vá nào có sẵn cho 34527.
Cái này có thể được khai thác cả dưới dạng LPE và thực thi mã từ xa (RCE). Bạn có biết điều gì sẽ xảy ra khi bạn đặt LPE và RCE lại với nhau không? Bạn nhận được một cuộc tấn công từ xa trên mạng doanh nghiệp của bạn. Nó có thể tấn công mọi máy bạn có.
Nếu, nghĩa là, có một giao thức bạn có thể sử dụng để điều khiển các máy từ xa. Đoán xem nào? Có. Tuy nhiên, một nhà nghiên cứu khác, người sử dụng Cube0x0, đã tiết lộ rằng bạn có thể lạm dụng việc khai thác này thông qua Giao thức Từ xa Không đồng bộ Hệ thống In (MS-PAR).
Các nhà nghiên cứu đã cố gắng đưa khám phá của họ vào ngoại tuyến khi họ nhận ra những gì họ đã làm, nhưng quá ít, quá muộn. Một khi điều gì đó đã được tiết lộ trên internet, nó sẽ tồn tại mãi mãi. Khi tôi viết điều này, có ít nhất ba cách khai thác bằng chứng khái niệm công khai trên mạng.
Vào ngày 6 tháng 7, Microsoft đã đưa ra thông báo khẩn cấp “hãy sửa lỗi này ngay bây giờ!” vá. Có hai vấn đề này. Đầu tiên, bản vá không có sẵn cho Windows 10 1607, Windows Server 2012 và Windows Server 2016. Điều đó thật khó chịu. Thứ hai, và cũng tệ không kém, hóa ra nó sẽ không hoạt động nếu máy của bạn sử dụng Point and Print, điều này giúp nhân viên của bạn truy cập thành công máy in dễ dàng hơn.
Đây là một mớ hỗn độn thực sự. Như Will Dormann, một nhà phân tích lỗ hổng cấp cao của CERT, đã nói, “Đó là thỏa thuận lớn nhất mà tôi đã xử lý trong một thời gian dài”. Ya nghĩ? Khi tôi viết điều này, có hàng triệu PC doanh nghiệp (thậm chí đừng nghĩ đến tất cả các PC gia đình) đang bị tấn công này.
Có những điều bạn có thể làm về nó, nhưng không doanh nghiệp nào thực sự muốn áp dụng những biện pháp này. Ví dụ: bạn có thể ngăn nhân viên của mình in bất kỳ thứ gì bằng cách tắt Bộ đệm in, với các lệnh PowerShell sau:
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType đã bị vô hiệu hóa
Ý tôi là, máy in. Ai cần chúng? Tôi nói đúng chứ?
Ở cấp độ thực tế hơn, nếu bạn cho phép truy cập internet vào bộ in ấn trên máy chủ hoặc PC của mình, hãy chặn điều này. Chặn nó ngay bây giờ. Đó là những gì tường lửa dành cho. Sử dụng chúng. Nó sẽ không ngăn bất kỳ ai từ bên trong mạng của bạn quyết định làm hỏng máy của bạn, nhưng ít nhất bạn có thể ngăn chặn J. Random Hacker.
Nhưng trở lại câu hỏi ban đầu: Để vá hay không vá?
Trong trường hợp này, nó sẽ không tạo ra nhiều khác biệt. Tuy nhiên, hãy quay trở lại bản vá thứ Ba của tháng Hai. Nếu bạn vẫn đang sử dụng Windows 10 1909 trên mạng Wi-Fi có bảo mật Wi-Fi Protected Access 3 (WPA3), rất có thể bạn sẽ nhận được Màn hình xanh chết chóc.
Vì vậy, làm thế nào để bạn cân bằng việc có được sự bảo mật cần thiết mà không làm mất đi tính ổn định của phi hành đoàn? Nếu bạn giống như hầu hết các doanh nghiệp nhỏ, bạn không có khả năng thuê một chuyên gia bảo mật toàn thời gian. Nhưng có những bước bạn có thể thực hiện để bảo vệ doanh nghiệp của mình, bất kể ngân sách CNTT của bạn nhỏ đến mức nào.
Đồng thời, không ai nên làm theo khuyến nghị của Microsoft một cách mù quáng để vá lỗi càng sớm càng tốt. Tôi biết từ kinh nghiệm cá nhân cay đắng mà bạn có thể gặp phải khi vá lỗi Windows.
Ít nhất, để giảm rủi ro, hãy sao lưu tất cả hệ thống Windows của bạn ngay lập tức trước khi vá lỗi. Bằng cách đó, nếu xảy ra sự cố khủng khiếp, bạn luôn có thể đặt lại và đợi bản vá tốt xuất hiện.
Điều khác bạn nên làm là duy trì một hệ thống Windows tiêu chuẩn phản chiếu tất cả các cấu hình tiêu chuẩn của PC làm việc của bạn. Máy này là hộp hy sinh được chỉ định của bạn — sử dụng nó để cài đặt tất cả các bản vá mới nhất. Sau đó, chạy tất cả các ứng dụng của bạn để xem có điều gì sai trái không. Nếu tất cả đều ổn trên PC thử nghiệm của bạn sau một hoặc hai ngày, hãy cập nhật tất cả các máy khác của bạn.
Tất nhiên, bạn sẽ vẫn sẵn sàng cho các cuộc tấn công zero-day như PrintNightmare, nhưng tất cả chúng ta đều dễ bị tấn công. Nếu bảo mật thực sự là ưu tiên hàng đầu của công ty bạn, thì hãy bỏ lại Windows và sử dụng máy tính để bàn Linux thay thế. Chúng an toàn hơn.
Tôi biết hầu hết mọi người không thể hoặc sẽ không nghe lời khuyên đó. Đối mặt với nó, hầu hết chúng ta đều bị mắc kẹt với Windows. Nhưng nếu bạn cố gắng tìm ra sự cân bằng giữa việc vá lỗi và sự ổn định, bạn sẽ rất vui vì mình đã làm được. Rốt cuộc, vấn đề không phải là bạn sẽ bị tấn công bảo mật hay một bản vá xấu, mà là khi nào.
Chúc may mắn.
Tiếp theo hãy đọc cái này:
Bản quyền © 2021 IDG Communications, Inc.