CHỦ ĐỀ: Nhận dạng nguy cơ, điểm yếu lỗ hổng bảo mật hệ thống Microsoft Windows biện pháp đảm bảo an toàn hệ thống Microsoft Windows THỰC HIỆN: Nguyễn Hoàn Nam Dương PTIT CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS BỘ BẢO MẬT BAO GỒM NGUYÊN TẮC BẢO MẬT CHÍNH: - TÍNH BẢO MẬT (CONFIDENTIALITY) - TÍNH TỒN VẸN (INTEGRITY) - TÍNH KHẢ DỤNG (AVAILABILITY) CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS Hình 1.2 – Trang 28/MicrosoftWindows-Security-Essentials CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS BẢO MẬT TÍNH BẢO MẬT: - Thực phương pháp kiểm soát truy cập để kiểm sốt truy cập liệu - Mã hóa lớp bảo mật khác để bảo vệ chống tính bảo mật - Có thể mã hóa tập riêng lẻ, toàn ổ đĩa cứng truyển liệu qua mạng CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS BẢO MẬT TÍNH KHẢ DỤNG: - Mất tính khả dụng đơn giản hệ thống liệu không khả dụng người dùng cần chúng Một hệ thống phải hoạt động 24/7 - Đảm bảo hệ thống hoạt động cách bảo vệ chống lại mối đe dọa khác - Một mối đe dọa phổ biến virut, worms, trojan - Sao lưu liệu quan trọng CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS BẢO MẬT TÍNH TỒN VẸN - Mất tính tồn vẹn xảy liệu sửa đổi mà không phép - Kiểm soát truy cập hoạt động để đảm bảo người ủy quyền có quyền truy cập - Ghi nhật kí kiểm tra hiển thị có truy cập liệu bao gồm chi tiết họ ai, làm thời gian họ làm - Kiểm tra băm phát liệu tính tồn vẹn PHÂN TÍCH, NHẬN DẠNG CÁC NGUY CƠ, ĐIỂM YẾU VÀ LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS 2.1 CÁC NGUYÊN NHÂN CÓ THỂ GÂY RA CÁC LỖ HỔNG BẢO MẬT  Lỗi thân hệ điều hành ( lỗ hổng hệ thống tệp, lỗ hổng chế độ tải, lỗ hổng chế quản lý tiến trình )  Lỗ hổng từ phần mềm, dịch vụ kèm phát hành hệ điều hành  Người quản trị hệ thống yêu không hiểu sâu sắc dịch vụ cung cấp, cấu hình khơng an tồn  Người sử dụng có ý thức bảo mật click vào đường link lạ hay tải ứng dụng độc hại, sử dụng mẫu yếu 2.2 PHÁT HIỆN LỖ HỔNG CỦA HỆ THỐNG THÔNG TIN  Để phát hiện, xác định đánh giá lỗ hổng HTTT loại bỏ chúng, người ta sử dụng phương tiện phân tích an tồn  Q trình phát lỗ hổng HTTT xây dựng cách thực kiểm tra thụ động kiểm tra thăm dò tích cực (active probe) lỗ hổng.  Mơ hình phát lỗ hỏng tổng quát 10 4.7.1.GIỚI THIỆU • Hai lỗ hổng bảo mật riêng tư Remote Desktop Protocol (Exec Code Dos).Lỗ hỏng cho phép thực thi mã từ xa kẻ công gửi chuỗi gói RDP thiết kế đặc biệt với hệ thống bị ảnh hưởng • Theo mặc định tất máy khơng cho phép dịch vụ Remote Desktop không bị lỗi 46 Windows XP Service Pack Windows XP Professional x64 Edition Service Pack Windows Server 2003 Service Pack Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Service Pack Windows Vista x64 Edition Service Pack Windows Server 2008 for 32-bit Systems Service Pack Windows Server 2008 for x64-based Systems Service Pack Windows Server 2008 for Itanium-based Systems Service Pack Windows for 32-bit Systems and Windows for 32-bit Systems Service Pack Windows for 32-bit Systems and Windows for 32-bit Systems Service Pack Windows for x64-based Systems and Windows for x64-based Systems Service Pack Windows for x64-based Systems and Windows for x64-based Systems Service Pack Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itani um-based Systems Service Pack Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itani um-based Systems Service Pack 47 4.7.2.CÁCH KHẮC PHỤC  Tìm kiếm vá:  Win vá cho lỗi KB2667402  Win XP vá cho lỗi KB2621440  Tắt dịch vụ Remote Desktop máy tính 48 4.8 MS10-046 Vulnerability in Windows Shell Could Allow Remote Code Execution 49 4.8.1 GIỚI THIỆU  Đây lỗi nghiêm trọng liên quan đến Window Shell tất hệ điều hành bị ảnh hưởng, cho phép kẻ cơng chiếm lấy tồn quyền điều khiển Window thực thi mã nguồn từ xa Lỗi phát vào tháng 6/2010 tháng 8/2010,Microsoft tung ba lỗi  Lỗi nguy hiểm nằm tập tin “shortcut”(*.lnk) Window Bằng cách tạo tập tin shortcut nhúng mã độc, tin tắc tự động thực thi mã độc người dùng xem tập tin shortcut hay nội dung thư mục chứa tập tin 50  Windows XP Service Pack  Windows XP Professional x64 Edition Service Pack  Windows Server 2003 Service Pack  Windows Server 2003 x64 Edition Service Pack  Windows Server 2003 with SP2 for Itanium-based Systems  Windows Vista Service Pack and Windows Vista Service Pack  Windows Vista x64 Edition Service Pack and Windows Vista x64 Edition Service Pack  Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32- bit Systems Service Pack  Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack  Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack  Windows for 32-bit Systems  Windows for x64-based Systems  Windows Server 2008 R2 for x64-based Systems  Windows Server 2008 R2 for Itanium-based Systems 51 4.8.2 CÁCH KHẮC PHỤC  Thường xuyên chạy vá Window để tránh bị hacker lợi dụng  Bản lỗi có tên mã KB2286198 52 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 )  File LNK- file sử dụng để mở chương trình gọi file shortcut Khi bạn click vào chương trình .exe, file lnk sẽ map chương trình mở chương trình lên  Lỗ hổng biến thể MS10-046 (CVE2010-2568) ->MS15-020 (CVE-2015-0096) 53 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 )  Lổ hổng cho phép hacker thực thi mã độc từ xa file LNK hiển thị xử lý  Nguyên nhân gốc rễ nằm cách hiển thị shortcut Windows Control Panel, windows mở tệp lnk (hoặc pif) tạo thủ công, tải tệp dll định tệp Lnk mà khơng có kiểm tra, mà làm cho mã độc hại file dll thực 54 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 )  Tình huống: hacker đưa cho nạn nhân USB, chia sẻ folder chứa file LNK kèm với file dll Khi người dùng mở usb, mở share folder ra, bị lây nhiễm  Chỉ cần người dùng mở USB có chứa file Shortcut bị lỗ hổng, virus tự động thâm nhập vào máy tính chức Autorun bị vơ hiệu hóa Từ đó, hacker chiếm tồn quyền điều khiển máy tính để thực hành vi ăn cắp thông tin, phá hủy liệu dựa vào file DLL 55 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 )  Hacker khai thác thành công lỗ hổng có quyền người dùng giống người dung local máy tính lỗ hổng bị khai thác từ việc chia sẻ mạng, hay chia sẻ dạng WebDAV  Những hệ điều hành từ Windows XP trở sau bị ảnh hưởng lỗi trên, kể Winserver 2016 Windows 10 56 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 )  Cách hạn chế :  Tắt tính Autoplay, Autorun Window, quét USB trước thực thao tác  Vơ hiệu hóa tính tự động tải trình duyệt  Trên server nên cấu hình sử dụng local mức user thường  Sử dụng phần mềm Antivirus cập nhật sở liên tục giúp phát malware mà usb cấm vào  Cập nhật vá sử dụng sở liệu virus cho Windows Defender 57 4.10 LỔ HỔNG ETERNALBLUE MS17_010  Smb -Server Message Block giao thức chia sẻ file phổ biến hệ điều hành window, trước phát lổ hổng, gần mặc định dùng tảng Windows  EternalBlue khai thác lỗ hổng việc triển khai thực giao thức SMB (Server Message Block) Microsoft thông qua Lỗ hổng tồn giao thức SMBv1, máy tính window SMBv1 kích hoạt mặc định dùng gói tin SMBcủa kẻ công cho phép họ thực thi đoạn mã ngẫu nhiên máy tính người dùng  Lổ hổng SMB attack vector nhiều công 58 4.10 LỔ HỔNG ETERNALBLUE MS17_010  Ban đầu khai thác hệ điều hành win7, server 2008 tương tự trở xuống  Nhưng sau công lợi dụng lổ hổng SMB phát táng mã độc eternalblue đưa khai thác tảng win 8.1, Server 2012, 2016, win 10 tạo nhiều biến thể khác, cách thức khai thác khó hơn, có khả bị lợi dụng công 59 4.10 LỔ HỔNG ETERNALBLUE MS17_010  Khuyến nghị: + Cập nhật vá lỗi ms17-010 Microsoft + Chặn kết nối đến cổng (Port) 135 Và 445 firewall + Tắt giao thức SMB + Bảo mật tài khoản người dùng + Tránh share folder cho user guest + Sử dụng công cụ kiểm tra tồn lổ hổng mạng, khắc phục kịp thời 60 ... DẠNG CÁC NGUY CƠ, ĐIỂM YẾU VÀ LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS 2.1 CÁC NGUY N NHÂN CÓ THỂ GÂY RA CÁC LỖ HỔNG BẢO MẬT  Lỗi thân hệ điều hành ( lỗ hổng hệ thống tệp, lỗ hổng chế... (AVAILABILITY) CÁC NGUY N TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS Hình 1.2 – Trang 28/MicrosoftWindows-Security-Essentials CÁC NGUY N TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS BẢO MẬT TÍNH BẢO MẬT:... không hợp pháp  Lỗ hổng loại A: cảnh báo nguy hiểm cho phép người ngồi hệ thống truy cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống Nguy n nhân lỗ hổng thường quản trị yếu Những lỗ hổng có