Nhà cung cấp giải pháp bảo mật ExtraHop (trụ sở tại Mỹ) đã sử dụng các giải pháp phát hiện và phản hồi mạng (NDR) của họ để phân tích siêu dữ liệu ẩn danh từ một số lượng mạng khách hàng không xác định, nhằm hiểu rõ hơn về những mục tiêu có thể dễ bị tấn công nhắm vào các giao thức lỗi thời.
Nghiên cứu cho thấy, các tổ chức vẫn còn sử dụng giao thức Server Message Block phiên bản 1 (SMBv1), chứa lỗ hổng tràn bộ đệm có thể bị khai thác bởi công cụ EternalBlue của Cơ quan an ninh quốc gia Mỹ (NSA) phát triển và các công cụ tấn công liên quan.
Những công cụ này sau đó đã được tin tặc Triều Tiên sử dụng cho tấn công mã độc tống tiền WannaCry và tin tặc Nga sử dụng cho chiến dịch tấn công mã độc tống tiền NotPetya.
Đây không phải là giao thức không an toàn duy nhất mà các tổ chức vẫn sử dụng. ExtraHop phát hiện ra rằng, 81% tổ chức vẫn sử dụng giao thức xác thực đăng nhập HTTP dạng văn bản rõ và 34% tổ chức có ít nhất 10 máy khách sử dụng giao thức xác thực NTLMv1, có thể cho phép tin tặc thực hiện tấn công người đứng giữa (MITM) hoặc kiểm soát hoàn toàn một tên miền.
Báo cáo cũng cảnh báo rằng, 70% tổ chức cũng đang sử dụng giao thức phân giải tên luồng đa phát liên kết cục bộ (LLMNR), có thể bị lợi dụng để truy cập vào hàm băm của thông tin xác thực người dùng. Thông tin này có thể bị phá và sẽ để lộ lọt thông tin đăng nhập.
Ông Ted Driggs, trưởng bộ phận sản phẩm của ExtraHop cho rằng không phải lúc nào các tổ chức cũng dễ dàng nâng cấp lên các giao thức mới và an toàn hơn.
Ông Ted giải thích, nâng cấp SMBv1 và các giao thức lỗi thời khác có thể không phải là điều dễ thực hiện đối với các hệ thống cũ, ngay cả khi điều này có thể thực hiện, thì việc nâng cấp có thể gây ra sự cố gián đoạn. Nhiều tổ chức công nghệ thông tin và bảo mật sẽ lựa chọn việc tiếp tục sử dụng các giao thức lỗi thời thay vì chịu rủi ro gián đoạn hoạt động.
Ông cũng cho biết, các tổ chức cần kiểm kê chính xác và cập nhật về hành vi sử dụng tài sản công nghệ thông tin, để đánh giá được tình hình rủi ro liên quan đến các giao thức không an toàn. Chỉ khi đó, họ mới có thể quyết định cách khắc phục sự cố hoặc hạn chế phạm vi tiếp cận các hệ thống dễ bị tấn công trên mạng.
Đỗ Đoàn Kết
(theo Infosecurity)
14:00 | 29/06/2017
10:00 | 20/09/2017
08:12 | 15/06/2017
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024