Lỗ hổng CVE-2018-0950 cho phép kẻ xấu đánh cắp thông tin nhạy cảm, bao gồm cả thông tin đăng nhập Windows của người dùng, chỉ bằng cách lừa họ mở/xem một thư điện tử trong Microsoft Outlook (mà không cần thực hiện bất cứ một thao tác nào khác). Khi Outlook hiển thị nội dung OLD nằm ở xa của một bức thư định dạng Rich Text Format (RTF), ứng dụng sẽ tự động khởi tạo kết nối SMB. Kẻ xấu có thể lợi dụng điều đó bằng cách gửi một bức thư với định dạng RTF, trong đó chứa một hình ảnh (đối tượng OLE) nằm ở máy chủ SMB do chúng kiểm soát. Vì Microsoft Outlook tự động hiển thị nội dung OLE, nó sẽ tự động khởi tạo bước xác thực với máy chủ (do kẻ xấu kiểm soát) bằng giao thức SMB, với hình thức đăng nhập một lần (SSO) – tức là gửi tên người dùng và giá trị băm NTLMv2 của mật khẩu.
Nếu mật khẩu không đủ phức tạp, kẻ xấu có thể dò được mật khẩu từ giá trị băm trong một thời gian ngắn. Hình ảnh dưới đây mô tả cách Windows tự động gửi thông tin đăng nhập của người dùng tới máy chủ của kẻ xấu.
Dormann đã báo cáo về lỗ hổng này cho Microsoft vào tháng 11/2016 và đến tháng 4/2018, Microsoft mới đưa ra bản vá. Tuy nhiên, bản vá chỉ chặn Outlook tự động thiết lập kết nối SMB khi xem trước thư có định dạng RTF email. Nếu người dùng vẫn nhấn vào liên kết dạng UNC trong thư (có dạng \\), thì kết nối SMB vẫn được khởi tạo. Điều đó có nghĩa là bản vá của Microsoft không bảo vệ người dùng 100% (tin tặc vẫn có thể lợi dụng).
Vì thế, người dùng Windows, đặc biệt là những người quản trị hệ thống, được khuyến cáo thực hiện các công việc sau để ngăn chặn việc lợi dụng lỗ hổng:
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 23/05/2018
13:00 | 28/06/2018
07:00 | 24/05/2021
08:00 | 20/08/2018
10:00 | 11/09/2018
10:00 | 04/07/2019
15:00 | 14/03/2025
Theo công ty bảo mật Cyfirma (Singapore), chỉ trong vòng một tuần, lượt tải của ứng dụng độc hại thuộc nhóm SpyLoan dưới vỏ bọc mang tên "Finance Simplified" đã tăng chóng mặt từ 50.000 đến 100.000 lượt. Người dùng khi cài ứng dụng này có thể bị thu thập dữ liệu, áp đặt khoản vay bóc lột và tống tiền chiếm đoạt tài sản.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
10:00 | 09/12/2024
Nhóm tin tặc RomCom đến từ Nga đã liên kết hai lỗ hổng zero-day trong các cuộc tấn công gần đây nhắm vào người dùng Firefox và Tor Browser trên khắp khu vực châu Âu và Bắc Mỹ.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Các nhà nghiên cứu an ninh mạng đã cảnh báo khẩn cấp cho cộng đồng YouTuber, khi một chiến dịch tống tiền quy mô lớn đang nhắm vào các nhà sáng tạo nội dung, buộc họ phải phát tán phần mềm độc hại đào tiền điện tử trên kênh của mình.
10:00 | 21/03/2025
