Lỗ hổng SeriousSAM được đánh giá là nghiêm trọng, tồn tại trong cấu hình mặc định của Windows 10 và Windows 11, do hệ thống cấp quyền “read” cho tất cả người dùng cục bộ. Khi có quyền truy cập, kẻ tấn công có thể trích xuất dữ liệu từ nhiều file hệ thống quan trọng, trong đó có cơ sở dữ liệu quản lý tài khoản bảo mật (Security Accounts Manager – SAM). Qua đó, kẻ tấn công có thể lấy được mật khẩu dưới dạng các mã băm NTLM (New Technology LAN Manager) của các tài khoản và leo thang đặc quyền để kiểm soát hệ thống thông qua tấn công pass-the-hash.
Hiện nay, Windows 10 rất phổ biến, đặc biệt là ở Việt Nam bởi các tính năng nổi bật và thân thiện với người dùng. Microsoft ước tính có hơn 1 tỷ thiết bị sử dụng hệ điều hành này. Trong khi đó, dù mới chỉ là bản phát hành thử nghiệm, Windows 11 Insider cũng đã có rất nhiều lượt tải về và dùng thử. Do đó, khi chưa có bản vá đầy đủ thì giải pháp khắc phục tạm thời lỗ hổng SeriousSAM là rất cần thiết để giảm thiểu khả năng bị tấn công.
Người dùng nên hạn chế quyền truy cập vào các tệp trong thư mục windows\system32\config (bao gồm các tệp khác nhau như SAM, SYSTEM, SECURITY, DEFAULT và SOFTWARE), đồng thời xóa các bản sao VSS (Volume Shadow Copy Service) cũng như các điểm khôi phục hệ thống (System Restore) để giảm thiểu ảnh hưởng từ lỗ hổng.
- Trước tiên, cần kiểm tra máy tính (Windows 10 hoặc Windows 11) có bị ảnh hưởng bởi lỗ hổng SeriousSAM hay không.
.png)
- Hạn chế quyền truy cập, bằng cách chỉ cho phép tài khoản quản trị (Administrator) mới có quyền truy cập các tệp trong thư mục windows\system32\config thông qua lệnh sau với quyền của Administrator trên cửa sổ Command Prompt hoặc PowerShell.
• Từ cửa sổ Command Prompt, sử dụng câu lệnh: icacls %windir%\system32\config\*.* /inheritance:e
• Với PowerShell, sử dụng câu lệnh: icacls $env:windir\system32\config\*.* /inheritance:e
- Xóa các bản sao VSS: Thông thường, khi người dùng truy cập vào các tệp Registry sẽ nhận được thông báo lỗi vì tệp đang mở và bị khóa bởi chương trình khác. Tuy nhiên bản thân các tệp này, bao gồm cả SAM thường được sao lưu bởi VSS, nên kẻ tấn công có thể truy cập tệp thông qua VSS, do vậy cần phải xóa bản sao VSS. (Lưu ý rằng điều này có thể gây ảnh hưởng đến hoạt động khôi phục hệ thống và tệp, chẳng hạn như khôi phục dữ liệu bằng các ứng dụng sao lưu của bên thứ 3).
• Mở cửa sổ lệnh Command Prompt hoặc Windows PowerShell dưới quyền Administrator, xem các bản sao VSS với câu lệnh: vssadmin list shadows.
.png)
• Nếu có thì xóa chúng bằng câu lệnh: vssadmin delete shadows /for=c: /Quiet.
.png)
• Kiểm tra lại với câu lệnh vssadmin list shadows để đảm bảo đã xoá hết các bản sao VSS, qua đó kẻ tấn công sẽ không có thông tin đường dẫn cụ thể để truy cập vào được các tệp Registry.
.png)
- Tiếp đến, xóa tất cả các điểm khôi phục hệ thống (System Restore) đang tồn tại.
• Mở Start Menu, vào khung Search, sau đó nhập từ khóa và chọn “Create a restore point”.
• Cửa sổ System Properties sẽ hiện lên, trong tab System Protection, chọn ổ đĩa mà người dùng muốn xóa điểm khôi phục hệ thống, sau đó vào mục Configure.
• Ở cửa số tiếp theo, chọn Delete. Một thông báo hiện ra, chọn Continue để xác nhận xóa tất cả các điểm khôi phục hệ thống.
• Khi có hiển thị thông báo đã xóa thành công, mục Current Usage sẽ là 0 bytes.
- Sau khi bị loại bỏ và hạn chế quyền truy cập vào thư mục %windir%\system32\config, người dùng có thể tạo một điểm khôi phục hệ thống khác (nếu cần thiết).
• Thực hiện theo hướng dẫn ở mục trên để mở System Properties. Chọn ổ đĩa cần tạo điểm khôi phục hệ thống (thông thường là ổ C). Dưới mục Protections Settings, kiểm tra xem cài đặt tùy chọn đang ở trạng thái On hay Off, sau đó chọn Configure.
• Trong cửa sổ mới, tại phần Restore Setting, tích chọn Turn on system protection và phần Disk Space Usage, chỉnh không gian lưu trữ tối đa tại mục Max Usage, sau đó chọn Apply.
• Trở lại màn hình System Protection, chọn Create để tạo điểm khôi phục, cửa sổ Create a restore point hiện ra, người dùng sẽ nhập tên điểm khôi phục và chọn Create.
• Như vậy điểm khôi phục đã được tạo xong, chọn Close để kết thúc.
Đinh Hồng Đạt
10:00 | 27/07/2021
09:00 | 27/03/2023
09:00 | 18/08/2021
08:00 | 13/12/2021
14:00 | 04/04/2023
09:00 | 20/08/2021
08:00 | 26/08/2021
11:00 | 29/07/2021
18:00 | 15/07/2021
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
08:00 | 06/11/2023
Nhóm tin tặc đến từ Nga đã khai thác lỗ hổng bảo mật được phát hiện gần đây trong phần mềm WinRAR như một phần của chiến dịch lừa đảo được thiết kế để thu thập thông tin của người dùng từ các hệ thống bị xâm nhập.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024
