Định nghĩa CVE (Common Vulnerabilities and Exposures) MỘT SỐ HÌNH THỨC TẤN CÔNG LIÊN QUAN KHAI THÁC LỖ HỔNG BẢO MẬT DỰA TRÊN MÃ ĐỊNH DANH CVE Mô phỏng khai thác lỗ hổng MS 08067 để chiếm quyền điều khiển máy Windows XP với mã định danh CVE20084250
Trang 1BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
BÁO CÁO BÀI TẬP LỚN
TÌM HIỂU VỀ MÃ ĐỊNH DANH CVE
VÀ KỸ THUẬT KHAI THÁC LỖ HỔNG BẢO MẬT
THEO MÃ ĐỊNH DANH CVE
Ngành: Công nghệ thông tinChuyên ngành: An toàn thông tin
Mã số: 52.48.02.01
Trang 2BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
BÁO CÁO BÀI TẬP LỚN
TÌM HIỂU VỀ MÃ ĐỊNH DANH CVE
VÀ KỸ THUẬT KHAI THÁC LỖ HỔNG BẢO MẬT
THEO MÃ ĐỊNH DANH CVE
Ngành: Công nghệ thông tinChuyên ngành: An toàn thông tin
Mã số: 52.48.02.01
Sinh viên thực hiện:
Nguyễn Thanh Trà AT12D
Bùi Quốc Quân AT12D
Ngô Quang Hoàng Sơn AT12D
Vũ Minh Hoàng AT12D
Lớp: L04
Người hướng dẫn:
ThS Phạm Sỹ Nguyên
Hà Nội, 2018
Trang 3MỤC LỤC
Danh mục hình vẽ ii
Danh mục bảng iii
Lời nói đầu iv
Chương 1 GIỚI THIỆU CHUNG VỀ MÃ ĐỊNH DANH CVE 1
1.1 Định nghĩa CVE (Common Vulnerabilities and Exposures) 1
1.2 Lịch sử của CVE 1
1.3 Ưu điểm của CVE 3
1.4 ID CVE và cú pháp ID CVE 4
1.5 Thống kê số lượng lỗ hổng bảo mật được công bố từ năm 1999-2017 6
Chương 2 MỘT SỐ HÌNH THỨC TẤN CÔNG LIÊN QUAN KHAI THÁC LỖ HỔNG BẢO MẬT DỰA TRÊN MÃ ĐỊNH DANH CVE11 2.1 Lỗ hổng gây từ chối dịch vụ (Denial of Service) 11
2.2 Lỗ hổng leo thang đặc quyền (Gain privilege) 15
2.3 Lỗ hổng SQL Injection 19
2.4 Lỗ hổng Excute Code Overflow (thực thi tràn mã) 22
2.5 Lỗ hổng Cross-site scripting (XSS) 25
2.6 Một số tấn công khác dựa trên mã định danh CVE 29
Chương 3 THỰC HIỆN TÌNH HUỐNG MÔ PHỎNG 33
3.1 Ý tưởng 33
3.2 Mục đích 33
3.3 Mô phỏng khai thác lỗ hổng MS 08-067 để chiếm quyền điều khiển máy Windows XP với mã định danh CVE-2008-4250 33
3.3.1 Chuẩn bị: 33
3.3.2 Các bước thực hiện: 33
3.4 Kết quả đạt được 35
Kết luận 36
Tài liệu tham khảo 37
Trang 4DANH MỤC HÌNH VẼ
Hình 1-1: Tổng số các lỗ hổng được công bố từ năm 1999-2017 6
Hình 1-2: Số lượng các lỗ hổng nghiêm trọng từ năm 1999-9/2017 7
Hình 1-3: Số lượng từng loại lỗ hổng, tính từ năm 1999-9/2017 8
Hình 1-4: Lỗ hổng trên các sản phẩm của Microsoft qua các năm 10
Hình 1-5: Lỗ hổng trên các sản phẩm của RedHat qua các năm 10
Hình 3-1: Sử dụng Metaspoit để khai thác lỗ hổng 34
Hình 3-2: Khai thác máy nạn nhân 35
Hình 3-3: Lấy thông tin máy của nạn nhân 35
Trang 5DANH MỤC BẢNG
Bảng 1-1: Tổng hợp các lỗ hổng trên một số hệ điều hành 9 Bảng 2-1: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-11788 12 Bảng 2-2: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-11781 13 Bảng 2-3: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-8673 14 Bảng 2-4: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-0244 15 Bảng 2-5: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-0246 17 Bảng 2-6: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2015-1795 18 Bảng 2-7: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2018-11309 19 Bảng 2-8: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2018-1000650
20
Bảng 2-9: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2018-12464 21 Bảng 2-10: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-7269 22 Bảng 2-11: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2018-5721 24 Bảng 2-12: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2009-1133 25 Bảng 2-13: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-5490 26 Bảng 2-14: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2016-7103 27 Bảng 2-15: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-5488 29
Trang 6LỜI NÓI ĐẦU
Với sự phát triển bùng nổ của công nghệ thông tin (CNTT), con người ngàycàng sử dụng nhiều loại thiết bị kết nối Internet để phục vụ nhu cầu cuộc sống.Điều này đã làm tăng đáng kể các phương pháp tấn công cho tội phạm trực tuyến,nhất là việc khai thác lỗ hổng trên các thiết bị kết nối Internet của người dùng.Chẳng hạn như việc tích hợp các công cụ Ubuntu Linux vào Windows 10 có thểtrở thành một hướng mới cho các cuộc tấn công đa nền tảng, như các lỗ hổng bảomật thường thấy trong Java hoặc trong các trình duyệt web Do đó, lỗ hổng bảomật vẫn là mối quan tâm hàng đầu đối với việc đảm bảo an toàn, an ninh thông tinmạng
Trong những năm gần đây, số lượng các lỗ hổng bảo mật được công bố(Common Vulnerabilities and Exposures - CVE) đã giảm, sau khi đạt mức cao kỷlục vào năm 2014 Vì vậy nhóm chọn đề tài : “Tìm hiểu về mã định danh CVE và
kỹ thuật khai thác lỗ hổng theo mã định danh CVE”
Đề tài chỉ dừng lại ở mức độ tìm hiểu nên bài báo cáo còn nhiều thiếu sótmong thầy đóng góp ý kiến để nhóm làm tốt hơn ở những đề tài sau này
Thành viên nhóm
Nguyễn Thanh Trà Bùi Quốc Quân Ngô Quang Hoàng Sơn
Vũ Minh Hoàng
Trang 7CHƯƠNG 1 GIỚI THIỆU CHUNG VỀ MÃ ĐỊNH DANH
CVE
1.1 Định nghĩa CVE (Common Vulnerabilities and Exposures)
CVE là một từ điển cung cấp các định nghĩa cho các lỗ hổng bảo mật và phơinhiễm công khai trên mạng . Mục tiêu của CVE là làm cho việc chia sẻ dữ liệu dễdàng hơn trên các khả năng dễ bị tổn thương riêng biệt (các công cụ, cơ sở dữ liệu
và dịch vụ) với các định nghĩa này. Mục nhập CVE bao gồm số nhận dạng, mô tả
và ít nhất một tham chiếu công khai
"Lỗ hổng" là điểm yếu trong logic tính toán được tìm thấy trong phần mềm
và một số thành phần phần cứng, khi khai thác, dẫn đến tác động tiêu cực đến tínhbảo mật, tính toàn vẹn, hoặc tính khả dụng. Việc giảm thiểu các lỗ hổng trong ngữcảnh này thường liên quan đến các thay đổi mã hóa, nhưng cũng có thể bao gồmcác thay đổi đặc điểm kỹ thuật hoặc thậm chí các đặc điểm kỹ thuật không dùngnữa (ví dụ, loại bỏ các giao thức hoặc chức năng bị ảnh hưởng toàn bộ)
1.2 Lịch
sử của CVE
Khái niệm ban đầu cho những gì sẽ trở thành Danh sách CVE đã được trìnhbày bởi những người đồng sáng tạo CVE, David E Mann và Steven M Christeycủa MITER Corporation, như một bài báo trắng mang tên Hướng tới việc liệt kê các
lỗ hổng phổ biến tại Hội thảo lần 2 về Nghiên cứu Cơ sở dữ liệu bảo mật dễ bị tổnthương vào ngày 21-22 tháng 1 năm 1999 tại Đại học Purdue ở West Lafayette,Indiana, Hoa Kỳ
Từ khái niệm ban đầu đó, một nhóm làm việc được thành lập (sau này trởthành Ban biên tập CVE 19 thành viên ban đầu), và 321 CVE Entries đã được tạo
ra Các Danh sách CVE đã chính thức tung ra cho công chúng vào tháng năm 1999
Cộng đồng an ninh mạng xác nhận tầm quan trọng của CVE qua các sảnphẩm và dịch vụ "CVE-tương thích" từ lúc CVE đã được đưa ra vào năm 1999 Làmột cách nhanh chóng như tháng 12 năm 2000 đã có 29 tổ chức tham gia với tờkhai tương thích với các sản phẩm 43 Ngày nay, những con số này đã tăng lênđáng kể với nhiều sản phẩm và dịch vụ từ khắp nơi trên thế giới kết hợp với cácmục nhập CVE
Trang 8Một yếu tố quan trọng khác để áp dụng là sự bao gồm liên tục của các IDCVE trong các tư vấn bảo mật Nhiều nhà cung cấp hệ điều hành lớn và các tổ chứckhác từ khắp nơi trên thế giới bao gồm ID CVE trong các cảnh báo của họ để đảmbảo rằng cộng đồng quốc tế có lợi khi có ID CVE ngay khi vấn đề được công bố.Ngoài ra, các mục CVE được sử dụng để xác định duy nhất các lỗ hổng trong danhsách theo dõi công khai như OWASP Top 10 các vấn đề bảo mật ứng dụng web ,trong báo cáo và infographics của " Báo cáo mối đe dọa bảo mật Internet của Tậpđoàn Symantec , Tập 19 " và được đánh giá theo mức độ nghiêm trọng trong Hệthống tính điểm dễ tổn thương chung (CVSS) ID CVE cũng thường được trích dẫntrong các ấn phẩm thương mại và các báo cáo phương tiện thông tin chung về lỗiphần mềm; như CVE-2014-0160 cho " Heartbleed "
Việc sử dụng CVE của các cơ quan Hoa Kỳ đã được Viện Tiêu chuẩn vàCông nghệ Quốc gia (NIST) khuyến nghị trong " NIST Special Publication (SP)800-51, Sử dụng Kế hoạch Đặt Lỗ hổng và Tiếp xúc Lỗ hổng (CVE) " vào năm
2002 và được cập nhật vào năm 2011 Vào tháng 6 năm 2004, Cơ quan Hệ thốngThông tin Quốc phòng Hoa Kỳ (DISA) đã ban hành một lệnh nhiệm vụ cho các ứngdụng đảm bảo thông tin yêu cầu sử dụng các sản phẩm sử dụng Mã định danh CVE
CVE cũng được sử dụng làm cơ sở cho các dịch vụ hoàn toàn mới Cơ sở dữliệu lỗ hổng bảo mật quốc gia của Hoa Kỳ (NVD) —một "cơ sở dữ liệu bảo mật anninh mạng toàn diện tích hợp tất cả các tài nguyên dễ bị tổn thương của Chính phủHoa Kỳ công khai và cung cấp tài liệu tham khảo cho các tài nguyên công nghiệp"
—được đồng bộ hóa và dựa trên Danh sách CVE NVD cũng bao gồm ánh xạ Giaothức Tự động Nội dung An toàn (SCAP) cho ID CVE SCAP là phương pháp sửdụng các tiêu chuẩn cụ thể để cho phép quản lý lỗ hổng, đo lường và đánh giá tuânthủ chính sách (ví dụ, tuân thủ FISMA) và CVE là một trong những tiêu chuẩncộng đồng mở SCAP sử dụng để liệt kê, đánh giá và đo lường tác động của các vấn
đề về phần mềm và báo cáo kết quả Ngoài ra, Hoa KỳCấu hình lõi máy tính để bànliên bang (FDCC) yêu cầu xác minh việc tuân thủ các yêu cầu FDCC bằng cách sửdụng các công cụ quét được xác thực SCAP CVE Change Logs là một công cụđược tạo bởi CERIAS / Purdue University để theo dõi các bổ sung và thay đổi đốivới Danh sách CVE và cho phép người dùng nhận báo cáo hàng ngày hoặc hàngtháng Open Vulnerability and Assessment Language (OVAL) , được điều hành bởiTrung tâm bảo mật Internet , là một tiêu chuẩn để xác định trạng thái máy của một
hệ thống máy tính sử dụng định nghĩa OVAL Vulnerability do cộng đồng phát triểndựa chủ yếu vào các mục CVE Số liệt kê điểm yếu chung của MITRE (CWE ™) là
Trang 9một từ điển chính thức của các điểm yếu phần mềm phổ biến dựa trên một phầntrên 100.000 mục CVE trong Danh sách CVE.
Và vào năm 2011, Tổ chức Kiểm soát an ninh không gian mạng của Liênminh Viễn thông Quốc tế (ITU-T) , là cơ quan tiêu chuẩn hệ thống thông tin/ viễnthông trong tổ chức liên chính phủ 150 năm tuổi, đã thông qua CVE như một phầncủa "Bảo mật Internet toàn cầu mới" Kỹ thuật trao đổi thông tin (X.CYBEX) "bằngcách đưa ra khuyến nghị ITU-T X.1520 Các lỗ hổng và phơi nhiễm chung (CVE) ,dựa trên các yêu cầu lưu trữ và các khuyến nghị của CVE tương thích trước đây chotài liệu tương thích CVE
Ngày nay, CVE đang tích cực mở rộng Chương trình Quản lý Đánh số CVE(CNA). CNA là cách danh sách CVE được xây dựng. Mỗi mục nhập CVE đượcthêm vào danh sách được chỉ định bởi CNA. Nhiều tổ chức từ khắp nơi trên thế giới
đã tham gia như CNA, với ngày càng nhiều tổ chức quyết định tham gia nỗ lựcCVE và trở thành CAN.
1.3 Ưu điểm của CVE
Mã định danh CVE được sử dụng để xác định lỗ hổng bảo mật Các lỗ hổng
và phơi nhiễm thông thường (CVE) là một từ điển của các tên thông thường chocác lỗ hổng bảo mật thông tin đã biết công khai Các số nhận dạng phổ biến củaCVE giúp dễ dàng chia sẻ dữ liệu qua các cơ sở dữ liệu và công cụ bảo mật mạngriêng biệt và cung cấp đường cơ sở để đánh giá mức độ phù hợp của các công cụbảo mật của tổ chức Nếu báo cáo từ một trong các công cụ bảo mật của bạn kếthợp Mã định danh CVE, thì bạn có thể truy cập nhanh chóng và chính xác thông tinkhắc phục trong một hoặc nhiều cơ sở dữ liệu tương thích CVE riêng biệt để khắcphục sự cố
Người dùng đã được chỉ định một mã định danh CVE cho lỗ hổng đượckhuyến khích để đảm bảo rằng họ đặt số nhận dạng trong bất kỳ báo cáo bảo mậtliên quan, trang web,email, v.v
CVE là miễn phí để sử dụng và công khai có sẵn cho bất cứ ai quan tâm đến
dữ liệu tương quan giữa các lỗ hổng bảo mật khác nhau hoặc các công cụ bảo mật,kho và dịch vụ. Bạn có thể tìm kiếm hoặc tải xuống CVE, sao chép nó, phân phốilại nó, tham khảo và phân tích nó, miễn là bạn không tự sửa đổi CVE. Bạn cũng cóthể liên kết đến các trang Nhập CVE cụ thể từ trang web, sản phẩm, ấn bản hoặckhả năng khác của bạn
Trang 10CVE hữu ích vì nó cung cấp số nhận dạng được chuẩn hóa cho một lỗ hổnghoặc độ phơi sáng đã cho. Việc biết số nhận dạng phổ biến này cho phép bạn truycập nhanh chóng và chính xác thông tin về sự cố trên nhiều nguồn thông tin tươngthích với CVE. Ví dụ: nếu bạn sở hữu một công cụ bảo mật có báo cáo chứa thamchiếu đến ID CVE, thì bạn có thể truy cập thông tin sửa lỗi trong cơ sở dữ liệu riêngbiệt tương thích với CVE. CVE cũng cung cấp cho bạn đường cơ sở để đánh giámức độ phù hợp của các công cụ của bạn. Với các số nhận dạng chung của CVE,bạn sẽ biết chính xác những gì mỗi công cụ bao gồm cho phép bạn xác định công
cụ nào hiệu quả nhất và phù hợp với nhu cầu của tổ chức bạn
Ngoài ra, nếu các tư vấn bảo mật mà tổ chức của bạn nhận được tương thíchvới CVE, bạn có thể xem máy quét lỗ hổng của bạn có kiểm tra mối đe dọa này haykhông và sau đó xác định xem hệ thống phát hiện xâm nhập của bạn có chữ ký tấncông thích hợp hay không. Nếu bạn xây dựng hoặc duy trì hệ thống cho kháchhàng, khả năng tương thích CVE của tư vấn sẽ giúp bạn xác định trực tiếp mọi bảnsửa lỗi từ nhà cung cấp sản phẩm phần mềm thương mại trong các hệ thống đó (nếutrang web sửa lỗi của nhà cung cấp tương thích với CVE)
b) Cú pháp ID CVE xác định thành phần số ID của mục nhập CVE , ví dụ: 2014-9999999", bao gồm tiền tố CVE + năm + số thứ tự
"CVE-Với cú pháp mới, ID CVE giờ đây có thể có 4 hoặc nhiều chữ số trong phần
số thứ tự của ID. Ví dụ, bản tin CVE-YYYY-NNNN với 4 chữ số trong dãy số, CVE-YYYY-NNNNN với 5 chữ số trong dãy số, CVE-YYYY-nnnnnnn với 7 chữ
số trong dãy số, v.v
Sự thay đổi là cần thiết vì cú pháp CVE ID được sử dụng kể từ khi thành lập CVE vào năm 1999, CVE-YYYY-NNNN, chỉ hỗ trợ tối đa 9,999 số nhận dạng duynhất mỗi năm. Do các báo cáo lỗ hổng công khai ngày càng tăng, CVE
Board và CVE Team đã xác định rằng Chương trình CVE cần thay đổi cú pháp của các mã định danh lỗ hổng chuẩn để CVE có thể theo dõi hơn 10.000 lỗ hổng trong một năm. Cú pháp CVE ID mới được xác định trong một cuộc bỏ phiếu của Hội đồng Quản trị CVE, các chi tiết trong đó có sẵn trong Bản lưu trữ Danh sách Thảo luận của Hội đồng Quản trị CVE
Thay đổi cú pháp ID CVE có hiệu lực vào ngày 1 tháng 1 năm 2014 và IDCVE bằng cú pháp mới được phát hành lần đầu vào ngày 13 tháng 1 năm
Trang 112015. CNA phân phối yếu (DWF) CNA cũng đang chủ động gán ID CVE với bảychữ số, tính đến tháng 5 24, 2016.
ID CVE có định dạng CVE-YYYY-NNNNN. Phần YYYY là năm mà ID CVEđược chỉ định HOẶC năm lỗ hổng được công khai (nếu trước khi ID CVE được chỉđịnh)
Phần “năm” không được sử dụng để chỉ ra khi nào lỗ hổng được phát hiện, nhưngchỉ khi nó được công bố
Ví dụ:
Lỗ hổng bảo mật được phát hiện vào năm 2016 và ID CVE được yêu cầu cho
lỗ hổng đó trong năm 2016 ID CVE sẽ có dạng "CVE-2016-NNNN"
Lỗ hổng được phát hiện vào năm 2015 và được công khai vào năm 2016 Nếu ID CVE được yêu cầu trong năm 2016, ID CVE sẽ có dạng "CVE-2016-NNNNN"
Lỗ hổng được phát hiện vào năm 2015 và yêu cầu được đưa ra cho ID CVE vào năm 2015 Lỗ hổng được gán "CVE-2015-NNNN" nhưng không được công khai. (ID CVE sẽ xuất hiện dưới dạng "Dành riêng" trong Danh sách CVE.) Người tiết lộ không công khai ID CVE công khai cho đến năm
2017. Trong trường hợp này, ID CVE vẫn là "CVE-2015-NNNN", mặc dù thực tế là lỗ hổng không được công khai cho đến năm 2017
Lỗ hổng được phát hiện và xuất bản vào năm 2015 mà không có ID CVE được gán cho nó. Ai đó yêu cầu ID CVE được chỉ định cho lỗ hổng trong năm 2016 Lỗ hổng được đưa ra "CVE-2015-XXXX" vì nó được công khai lần đầu tiên vào năm 2015
LƯU Ý: Không phải ngày mà lỗ hổng được giới thiệu vào sản phẩm hoặc ngày khi
lỗ hổng được cố định trong sản phẩm, yếu tố vào năm được chỉ định trong ID CVEđược gán cho lỗ hổng đó
CVE phải tạo chuẩn của riêng mình:
Để đạt được mục đích của CVE, các quy tắc phải:
Xác định những gì cần được tính toán (tức là lỗ hổng bảo mật)
Đảm bảo chỉ các lỗ hổng duy nhất được gán ID
Không nên đưa ra các trùng lặp về lỗ hổng
Yêu cầu một phương pháp phân biệt giữa các lỗ hổng
Đảm bảo các ID có thể được sử dụng để liên lạc chéo
Trang 12Dễ sử dụng bởi một tập hợp lớn, đa dạng của CNA
Đảm bảo kết quả phù hợp khi đưa ra cùng một thông tin
Tóm tắt quá trình tính toán
Bắt đầu bằng cách chia báo cáo thành từng lỗi riêng lẻ
Xác định xem các lỗi có dẫn đến lỗ hổng hay không
Đối với các lỗi không xác định xem kết hợp các lỗi có dẫn đến lỗ hổnghay không
Sau đó, xác định tập hợp sản phẩm nào bị ảnh hưởng
Bây giờ bạn đã xác định các sản phẩm bị ảnh hưởng, bạn có thể quyết định xem lỗ hổng có nằm trong phạm vi của bạn hay của người khác không
Sản phẩm đang được sử dụng rộng rãi này Nó bao gồm thư viện, giao thức và tiêu chuẩn
Sau đó, bạn xác định xem có giá trị cho cộng đồng khi chỉ định ID không
Thông tin về lỗ hổng phải được công khai (Nếu không ai biết ID được gán cho lỗ hổng nào, nó sẽ không có ích)
Lỗ hổng trong phần mềm họ có một số kiểm soát
Họ phải quan tâm đến tính bảo mật của sản phẩm
Cuối cùng, xác định xem ID CVE đã được gán cho lỗ hổng hay chưa
1.5 Thống kê số lượng lỗ hổng bảo mật được công bố từ năm 1999-2017
Trong những năm gần đây, số lượng các lỗ hổng bảo mật được công bố(Common Vulnerabilities and Exposures - CVE) đã giảm, sau khi đạt mức cao kỷlục vào năm 2014 Theo đó, số lượng lỗ hổng các năm 2014, 2015, 2016 lần lượt là7.946, 6.480 và 6.447 Các chuyên gia bảo mật đã dự đoán, năm 2017 sẽ không có
sự gia tăng đột ngột về số lượng lỗ hổng Tuy nhiên, chỉ tính trong nửa đầu năm
2017, số lượng lỗ hổng được công bố đã nhiều hơn 7 nghìn
Trang 13Hình 1-1: Tổng số các lỗ hổng được công bố từ năm 1999-2017
(theo www.cvedetails.com)
Đặc biệt, số lượng lỗ hổng nghiêm trọng có ảnh hưởng lớn đến vấn đề antoàn bảo mật của người dùng có xu hướng tăng qua các năm Vào cuối tháng10/2016, số lượng các lỗ hổng nghiêm trọng chiếm tới 40% tổng số lỗ hổng đượccông bố, tỷ lệ này cao hơn so với những năm trước đó Ví dụ: CVE-2016-2060 làmột lỗ hổng nghiêm trọng ảnh hưởng đến hàng triệu thiết bị Android, nghĩa là một
số ứng dụng có các đặc quyền được truy cập vào thông tin cá nhân của người dùng.Liên quan đến giao thức OpenSSL, DROWN là một lỗ hổng nghiêm trọng đượccông bố vào năm 2016 Ước tính, lỗ hổng này có thể ảnh hưởng tới 25% tên miềnInternet được truy cập nhiều nhất và khoảng 1/3 các máy chủ Web Điều này chứng
tỏ hai lỗ hổng này có thể ảnh hưởng đáng kể đến nhiều người dùng cá nhân vàngười dùng doanh nghiệp Trong nửa đầu năm 2017, tỷ lệ lỗ hổng nghiêm trọng đãchiếm tới 21,1%
Trang 14Hình 1-2: Số lượng các lỗ hổng nghiêm trọng từ năm 1999-9/2017
(theo www.cvedetails.com)
Ngoài ra, nguy cơ lỗ hổng bị khai thác không tỷ lệ thuận với số lượng lỗhổng được báo cáo, mà chủ yếu liên quan đến các vấn đề như việc sử dụng phổ biếncác giao thức và ứng dụng dễ bị tổn thương, những khó khăn trong khai thác và tínhchất quan trọng hoặc giá trị của thông tin được lưu giữ
Hình 1-3: Số lượng từng loại lỗ hổng, tính từ năm 1999-9/2017
(theo www.cvedetails.com)
Trang 15Thông thường, người dùng không mấy quan tâm tới những mã độc có mức
độ ảnh hưởng nghiêm trọng nếu chúng không được gán bởi những cái tên tạo sựchú ý Thực tế, trong hơn ba thập niên qua, các công ty chống mã độc và các nhànghiên cứu bảo mật đã sử dụng nhiều tên khác nhau để đặt cho các mã độc có tácđộng lớn Chẳng hạn như sâu Morris, Melissa, Sasser hoặc nhiều cái tên hiện tạinhư CTB-Locker và Locky Từ năm 2014, các lỗ hổng bảo mật đặc biệt nghiêmtrọng cũng đã được đặt tên Ví dụ: CVE-2014-0160, hay còn gọi là Heartbleed, một
lỗ hổng nổi tiếng không chỉ ở tên gọi mà còn là biểu tượng của chính nó Năm
2015, xuất hiện các tên như FREAK 0204) và Logjam 4000); năm 2016 là lỗ hổng với tên gọi Badlock (CVE-2016-2118), hay năm 2017với những cái tên như Stack Clash (CVE-2017-1000364), SambaCry (CVE-2017-7494) Việc đặt tên cho lỗ hổng quan trọng dựa trên đặc trưng của mối đe dọa,nhằm xác định một điểm tham chiếu hoặc sự hiểu biết về cách thức hoạt động Hyvọng rằng, điều này sẽ nâng cao nhận thức của người dùng, để họ thực hiện nhữngbiện pháp cần thiết nhằm giảm nhẹ tác động của các lỗ hổng có thể có trên hệthống
Trang 16(CVE-2015-STT Tên sản phầm Nhà sản xuất Số lượng lỗ hổng
Bảng 1-1: Tổng hợp các lỗ hổng trên một số hệ điều hành (nguồn: thống kê từ https://www.cvedetails.com/)
Trang 17Hình 1-4: Lỗ hổng trên các sản phẩm của Microsoft qua các năm
(nguồn: thống kê từ https://www.cvedetails.com/)
Hình 1-5: Lỗ hổng trên các sản phẩm của RedHat qua các năm
(nguồn: thống kê từ https://www.cvedetails.com/)
Trang 18CHƯƠNG 2 MỘT SỐ HÌNH THỨC TẤN CÔNG LIÊN
QUAN KHAI THÁC LỖ HỔNG BẢO MẬT DỰA TRÊN MÃ
ĐỊNH DANH CVE
Trong khuôn khổ của báo cáo này, nhóm chỉ đưa ra thống kê một vài lỗ hổngtrên một vài hệ điều hành phổ biến để xem xét các nguy cơ đối với các hệ điều hànhnói chung
Định nghĩa Common Vulnerability Scoring System (CVSS): Các lỗ hổng vềphần mềm, phần cứng, firmware thường tạo ra những mối nguy hại cho hệ thống,
và rất khó để phân loại cũng như khắc phục CVSS là một hệ thống tính điểm lỗhổng, giúp những nhà thẩm định nắm được các đặc điểm chính của lỗ hổng và đưa
ra mức độ nguy hiểm của nó bằng điểm số, từ đó giúp các tổ chức đánh giá đúngmức các lỗ hổng được phát hiện và có kế hoạch để khắc phục chúng
Trang 19CHƯƠNG 3 LỖ HỔNG GÂY TỪ CHỐI DỊCH VỤ
Tác động tính khả dụng Một phần (Có hiệu suất giảm hoặc gián đoạn về tính khả
dụng của tài nguyên)
Truy cập phức tạp
Thấp (Điều kiện truy cập đặc biệt hoặc tình tiết giảm nhẹkhông tồn tại Rất ít kiến thức hoặc kỹ năng cần thiết đểkhai thác)
Xác thực Không bắt buộc ( Không cần xác thực để khai thác lỗ
hổng)Đạt được truy cập None
Bảng 2-2: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-11788
Các sản phẩm bị ảnh hưởng bởi CVE-2017-11788
Trang 20Nhà cung cấp: Microsoft
Số phiên bản bị ảnh hưởng: 14
Tài liệu tham khảo cho CVE-2017-11788
11788
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-http://www.securitytracker.com/id/1039792
http://www.securityfocus.com/bid/101711
CVE-2017-11781 (thường được gọi là Windows SMB Denial of ServiceVulnerability)
Microsoft Server Block Message (SMB) trên Microsoft Windows Server
2008 SP2 và R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012Vàng và R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607 và 1703 vàWindows Server 2016 , có một lỗ hổng từ chối dịch vụ khi để cho kẻ tấncông gửi các request có cấu tạo đặc biệt lên server, hay còn được gọi là
"Windows SMB Denial of Service Vulnerability"
Xác thực Không bắt buộc ( Không cần xác thực để khai thác lỗ
hổng.)Đạt được truy cập None
Trang 21Bảng 2-3: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-11781
Các sản phẩm bị ảnh hưởng bởi CVE-2017-11781
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017- CVE-2017-8673 (thường được gọi là Windows Remote Desktop Protocol(RDP) Denial of Service Vulnerability)
Thực thi Remote Desktop Protocol (RDP)trong Microsoft Windows 10 1703cho phép kẻ tấn công kết nối với hệ thống đích bằng RDP và gửi các requestđược tạo đặc biệt, hay còn gọi là "Windows Remote Desktop Protocol (RDP)Denial of Service Vulnerability."
Tác động tính khả dụng Một phần (Làm hiệu suất giảm hoặc gián đoạn về tính
khả dụng của tài nguyên.)
Truy cập phức tạp
Trung bình (Các điều kiện truy cập có phần đặc biệt.Một số điều kiện tiên quyết phải được thỏa mãn để khaithác)
Xác thực Không bắt buộc (Không cần xác thực để khai thác lỗ
hổng.)
Trang 22Bảng 2-4: Điểm CVSS và thông tin về ảnh hưởng của lỗ hổng CVE-2017-8673
Các sản phẩm bị ảnh hưởng bởi CVE-2017-8673
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-3.1 Lỗ hổng leo thang đặc quyền (Gain privilege)
CVE-2017-0244 (thường được gọi là Windows Kernel Elevation of PrivilegeVulnerability)
Kernel trong Windows Server 2008 SP2 và R2 SP1 và Windows 7 SP1 chophép kẻ tấn công được xác thực tại đó nhận được các đặc quyền thông quamột ứng dụng được tạo thủ công hoặc có trong Windows 7 x64, gây ra từchối dịch vụ, hay còn gọi là "Windows Kernel Elevation of PrivilegeVulnerability "
Ngày xuất bản: 12-05-2017
Ngày cập nhật cuối cùng: 07-07-2017