Người dùng Windows đã cài đặt bản cập nhật bảo mật KB5012170 mới cho Khởi động an toàn đã gặp phải nhiều vấn đề khác nhau, từ lỗi khởi động với lời nhắc Khôi phục BitLocker đến các vấn đề về hiệu suất.
Bộ nạp khởi động UEFI tải ngay sau khi thiết bị được khởi động và chịu trách nhiệm khởi chạy môi trường UEFI với tính năng Khởi động an toàn để chỉ cho phép mã tin cậy được thực thi khi bắt đầu quá trình khởi động Windows.
Trong bản vá thứ ba tháng 8 năm 2022, Microsoft đã phát hành KB5012170 ‘Bản cập nhật bảo mật cho Secure Boot DBX’ độc lập để giải quyết các lỗ hổng được tìm thấy trong các bộ nạp khởi động UEFI khác nhau mà các tác nhân đe dọa có thể sử dụng để bỏ qua tính năng Khởi động Bảo mật của Windows và thực thi mã chưa được ký.
Có thể bạn đã từng nghe qua băng tần di động nhưng lại không biết nó là gì thì bài viết sau sẽ dành cho bạn. Bài viết sẽ giúp bạn hiểu rõ hơn về băng tần di dộng và có những loại băng tần nào đang được sử dụng phổ biến tại Việt Nam. Hãy theo dõi ngay nhé!
1. Băng tần nhà mạng là gì? Băng tần là tần số của sóng điện từ dùng để thu phát tín hiệu liên lạc giữa các thiết bị sử dụng công nghệ không dây. Trong đó, hệ thống thông tin di động toàn cầu (viết tắt là GSM) là một công nghệ dùng cho mạng thông tin di động.
2. Các dạng băng tần thường thấy
Có 3 dạng băng tần bạn sẽ thường gặp là:
– Băng tần thấp (Low-band): có tần số dưới 1 GHz.
– Băng tần trung (Mid-band): có tần số từ 1 GHz đến 6 GHz.
– Băng tần cao (High-band hay còn gọi là băng mmWave) có tần số từ 24 GHz đến 100 GHz.
Trong các dạng băng tần trên, băng tần thấp sẽ phát xa nhất, còn băng tần cao tuy phát mạnh nhưng chỉ đảm bảo trong phạm vi gần.
3. Băng tần 2G, 3G, 4G, 5G phổ biến tại Việt Nam
– Băng tần 2G tại Việt Nam Băng tần 2G tại Việt Nam trải từ 900 MHz đến 1800 MHz. Điện thoại hỗ trợ băng tần 900 MHz/1800 MHz sẽ có thể sử dụng được 2G ở Việt Nam.
– Băng tần 3G tại Việt Nam Băng tần 2100 MHz được các nước trên thế giới sử dụng phổ biến cho các mạng 3G, trong đó có Việt Nam.- Băng tần 4G tại Việt Nam Hiện tại (15/11/2021), các nhà cung cấp viễn thông di động tại Việt Nam thống nhất chọn băng tần 1800 MHz cho mạng 4G. Tuy nhiên, trong tương lai sẽ có thêm băng tần 2600 MHz sau khi các nhà mạng đã đấu giá băng tần thành công.
– Băng tần 5G tại Việt Nam Băng tần 2600 MHz ngày càng được sử dụng rộng rãi cho các mạng 5G tại Việt Nam.
Hiện tại (15/11/2021), Việt Nam cũng đang khai thác 5G ở băng tần sub-6, nghĩa là các dải băng tần thấp hơn 6GHz (6000 MHz).
Ngoài ra, băng tầng 5G mmWave đã được cấp phép tại Việt Nam với dải tần từ 24,25 – 27,5 GHz tạo cơ hội cho phép băng tần mmWave tốc độ cao sẽ được sử dụng tại Việt Nam trong tương lai.
4. Tại sao cần phải kiểm tra băng tần nhà mạng?
– Bạn nên kiểm tra băng tần khi mua hoặc nhận điện thoai từ nước ngoài về Việt Nam để có thể biết được băng tần đó có hoạt động tại Việt Nam được hay không.
– Đối với trường hợp khi bạn đi du lịch, công tác ở nước ngoài, việc kiểm tra băng tần rất cần thiết vì nó sẽ giúp bạn biết được điện thoai của mình có được hỗ trợ băng tần tại nước đó hay không.
Máy chủ Microsoft Exchange đang là mục tiêu của những kẻ phát tán phần mềm BlackCat Ransomware và có thông tin cho thấy tin tặc đang khai thác các lỗ hổng chưa được vá trên hệ thống để tạo ra phần mềm độc hại mã hóa tệp nói trên.
Người ta đã quan sát thấy rằng trong hơn hai trường hợp, tin tặc có thể đánh cắp thông tin đăng nhập và thông tin chuyển tiếp đến các máy chủ từ xa, để sử dụng dữ liệu đó cho việc tống tiền kép.
Tin tặc đầu tiên tấn công máy chủ nạn nhân trên một ghi chú ban đầu và sau đó được nhìn thấy đang triển khai các tải trọng BlackCat Ransomware trên toàn mạng thông qua PsExec.
Quy trình tấn công như sau:
Microsoft đã lưu ý về tình hình và nghi ngờ rằng các vụ tấn công đang được thực hiện bởi một băng nhóm có liên quan đến ransomware như một hoạt động dịch vụ và đang yêu cầu tất cả các máy chủ trao đổi của họ tuân theo một lời khuyên được đưa ra vào ngày 14 tháng 3 để giảm thiểu các cuộc tấn công ProxyLogon.
Một trong số chúng, một nhóm tội phạm mạng có động cơ tài chính được theo dõi là FIN12, được biết đến với việc triển khai Ryuk, Conti và Hive ransomware trước đây trong các cuộc tấn công chủ yếu nhắm vào các tổ chức chăm sóc sức khỏe.
Công ty công nghệ này đang kêu gọi các tổ chức sử dụng một giải pháp toàn diện như Microsoft 365 Defender của riêng mình để bảo vệ các rủi ro liên quan đến các cuộc tấn công và đã đưa ra lời khuyên chi tiết để hạn chế các vấn đề phát sinh từ các cuộc tấn công mạng.
LƯU Ý- Các phiên bản Ransomware của BlackCat đang hoạt động trên cả phiên bản Windows và Linux và trong môi trường của VMware ESXi. Kể từ năm 2021, phần mềm độc hại mã hóa tệp tin còn được gọi là ransomware ALPHV đã được nhìn thấy yêu cầu 5 triệu đô la từ các nạn nhân của nó.
Lưu ý http://<ServerFQDN>/powershell chúng ta thay ServerFQDN của các bạn nhé. Ví dụ ở đây của Phương Nguyễn là LAB-EX2013.phuongit.lab, tường lửa không cấm port 80.
PS C:\Users\Administrator.PHUONGIT> $Credentials = Get-Credential
cmdlet Get-Credential at command pipeline position 1
Supply values for the following parameters:
Credential
PS C:\Users\Administrator.PHUONGIT> $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http:/
/LAB-EX2013.phuongit.lab/PowerShell -Authentication Kerberos -Credential $Credentials
PS C:\Users\Administrator.PHUONGIT> Import-PSSession $Session
WARNING: The names of some imported commands from the module 'tmp_jbe3g1pw.q0h' include unapproved verbs that might
make them less discoverable. To find the commands with unapproved verbs, run the Import-Module command again with the
Verbose parameter. For a list of approved verbs, type Get-Verb.
ModuleType Version Name ExportedCommands
---------- ------- ---- ----------------
Script 1.0 tmp_jbe3g1pw.q0h {Add-ADPermission, Add-AvailabilityAddressSpace, Add-Conte...
PS C:\Users\Administrator.PHUONGIT>
Bước 3:
Import-PSSession $Session
Chờ import xong sẽ ok nhé trường hợp nếu không muốn hiện thì thêm tham số
Zero-day vulnerabilities on Windows Server 2016 CVE-2022-26925
Thông tin bảo mật 10/05/2022 CVE-2022-26925 CVE-2022-26925 – Lỗ hổng giả mạo Windows LSA (Windows LSA Spoofing Vulnerability) là một lỗ hổng nghiêm trọng vì nó đang bị các tác nhân đe dọa khai thác. Nó có điểm CVSS là 8,1. Mức độ phức tạp của cuộc tấn công là Cao vì lỗ hổng đã được xếp hạng với mức độ phức tạp AC: H. Cùng với các cuộc tấn công chuyển tiếp NTLM trên các dịch vụ chứng chỉ Active Directory (AD CS), lỗ hổng giả mạo LSA có nguy cơ tương đương với lỗ hổng nghiêm trọng CVSS 9.8.
Cơ chế: Kẻ tấn công chưa được xác thực có thể gọi một phương thức trên giao diện LSARPC và ép buộc Domain controller xác thực với kẻ tấn công bằng NTLM. Bản cập nhật bảo mật này phát hiện các nỗ lực kết nối ẩn danh trong LSARPC và không cho phép chúng
Hệ quả là các tài khoản người dùng trong hệ thống domain controller bị giả mạo logon vào Domain controller mà không đúng password, gây ra tình trạng chứng thực sai và bị block tài khoản không thể đăng nhập vào email hoặc logon máy tính.
CVE-2022-26925 được biết đến là 1 phần của lỗ hỏng PetitPotam trên Windows Server và Domain Controller
Bài viết này Phương Nguyễn hướng dẫn các bạn system admin cấu hình bảo mật cho các thiết bị NAS Sysnology phiên bản 7.0 trở lên nhé. Vì những ưu việc tính năng vượt trội của DSM 7.0-7.1 về bảo mật hệ thống cho NAS chống các rủi ro bảo mật hệ thống NAS mà Sysnology mang lại. Bạn nào chưa update thì update ngay nhé. Xem bài viết hướng dẫn update tại đây.
Bảo mật chung-General
Vào control panel-> Chọn security-> General.
Hẹn giờ đăng xuất (phút): Người dùng sẽ tự động đăng xuất khỏi DSM nếu họ không hoạt động trong khoảng thời gian được chỉ định tại đây. Nhập bất kỳ giá trị nào từ 1 đến 65535.
Tăng cường khả năng tương thích của trình duyệt bằng cách bỏ qua kiểm tra IP: Nếu bạn truy cập NAS Synology thông qua proxy HTTP và gặp phải các lần đăng xuất ngẫu nhiên, bạn có thể bật tùy chọn này để bỏ qua kiểm tra IP.
Cải thiện khả năng bảo vệ chống lại các cuộc tấn công giả mạo yêu cầu trên nhiều trang web: Tùy chọn này tăng cường khả năng bảo vệ của hệ thống chống lại các cuộc tấn công tạo kịch bản trên nhiều trang web. Tùy chọn này sẽ có hiệu lực vào lần tiếp theo bạn đăng nhập vào DSM.
Cải thiện bảo mật với tiêu đề Chính sách bảo mật nội dung HTTP (CSP): Tùy chọn này tăng cường bảo mật của hệ thống chống lại các cuộc tấn công tập lệnh xuyên trang (XSS) bằng cách chỉ cho phép dữ liệu từ các nguồn đáng tin cậy và hạn chế thực thi tập lệnh nội tuyến.
Không cho phép nhúng DSM với iFrame: Bạn có thể bật tùy chọn này để hạn chế các trang web khác nhúng DSM vào các trang web khác với iFrame, do đó ngăn chặn một số kiểu tấn công từ các trang web độc hại. Để cho phép các trang web cụ thể nhúng DSM với iFrame, hãy nhấp vào Trang web được phép, thêm trang web, đi tới Bảng điều khiển> Cổng đăng nhập> DSM> Miền, thiết lập miền tùy chỉnh và đánh dấu vào Bật HSTS buộc trình duyệt sử dụng kết nối bảo mật. Đảm bảo rằng NAS Synology của bạn có chứng chỉ hợp lệ.
Xóa tất cả các phiên đăng nhập của người dùng đã lưu khi khởi động lại hệ thống: Tùy chọn này ngăn các lỗi hệ thống không mong muốn xảy ra nếu người dùng vẫn đăng nhập và thực hiện các thao tác trên hệ thống trong khi hệ thống đang sẵn sàng. Với tùy chọn này được bật, tất cả người dùng sẽ cần đăng nhập lại sau khi hệ thống khởi động lại.
Hiển thị thông báo trên màn hình DSM khi IP hiện tại thay đổi: Khi IP của người dùng hiện đang kết nối thay đổi, hãy gửi thông báo trên màn hình cho người dùng đó.
Trust Proxy: có thể đưa vào danh sách list các IP tin tưởng proxy.
Tài khoản-Account
Cần phải đặt mật khẩu phức tạp và bật tính năng xác thực 2 bước 2FA kết hợp với approve sign khi đăng nhập vào quản trị DSM (OTP hoặc HSM)
Tường lửa-Firewall
Cần phải bật tường lửa và cấu hình chính sách truy cập và cho phép dịch vụ nào ip nào truy cập NAS có thể hiểu như 1 Acclist truy cập.
Bảo vệ -Protection
Định nghĩa thời gian truy cập và khóa theo IP có thể cho phép đưa blocklist IP network ip cũng như allow network nào.
Cảnh báo nhanh về lỗ hổng 0day CVE-2022-26809, Lỗ hổng thực thi mã từ xa trong Windows RPC Runtime không cần xác thực đang bị khai thác trong tự nhiên. Lỗ hổng chưa có nhiều thông tin đánh giá và phân tích chi tiết hay PoC được công bố. Tuy vậy cũng cần nắm bắt đề phòng, kịp thời phản ứng. Ngoài ra cũng cập nhật thêm thông tin một số lỗ hổng cần chú ý trong bản vá tháng 4 của Microsoft.
Phạm vi ảnh hưởng/Điều kiện khai thác ( CVE-2022-26809 ):
Hệ thống mở port 445 ra ngoài internet đều dễ bị tấn công
Các phiên bản Windows chưa được cập nhật bản vá tháng 4 mới nhất đều bị ảnh hưởng
Không cần thông tin xác thực
Thông tin chi tiết:
CVE-2022-26809: Windows RPC Runtime RCE không cần xác thực
Lỗ hổng nằm trong thư viện rpcrt4.dll của Windows RPC Runtime. Hai function là OSF_CCALL::ProcessResponse and OSF_SCALL::ProcessReceivedPDU đảm nhận việc xử lý các gói tin RPC ở phía client (CCALL) và server (SCALL).
Trong đó tại hàm QUEUE :: PutOnQueue thuộc OSF_SCALL ::
ProcessReceivePDU có chức năng kiểm tra việc tràn số nguyên ( integer overflows
check ).
int64 fastcall sub_l80042028(unsigned int currentvalue, int addition, int *output) {
unsigned int afterAddition; // eax
int v4; // edx
int64 result; // rax
afterAddition = currentvalue + addition;
v4 = -1;
if ( afterAddition >= currentvalue )
v4 = afterAddition;
result = afterAddition < currentvalue ? 0x80070216 : 0;
’output = v4;
return result;
}
Tại OSF_SCALL:GetCoalescedBuffer việc tràn số nguyên này có thể gây lỗi heap buffer overflow từ đó có thể ghi ngoài giới hạn bộ đệm heap và thực thi mã tùy ý. Một số hàm khác cũng tương tự bao gồm:
OSF_CCALL::ProcessResponse
OSF_SCALL::GetCoalescedBuffer
OSF_CCALL::GetCoalescedBuffer
Một số lỗ hổng cần quan tâm trong Patch Tuesday tháng 4 của Microsoft
Trong tháng 04/2022, Microsoft đã phát hành bản vá cho 117 lỗ hổng (chưa bao gồm 17 lỗ hổng trong Microsoft Edge), trong đó có 9 lỗ hổng được đánh giá ở mức Nghiêm Trọng và 108 lỗ hổng được đánh giá là Quan Trọng. Tỉ trọng số lượng lỗ hổng như sau: Thực thi mã từ xa (RCE) và Leo thang đặc quyền (EoP) đều chiếm tỉ trọng lớn với 39,3%. Trong các lỗ hổng được vá lần này, cần lưu ý một số CVE được Microsoft đánh giá là nguy hiểm, có khả năng bị tấn công cao trong thực tế:
CVE
Lỗ hổng
CVSS
Mô tả
CVE-2022-
26809
RPC Runtime Library Remote Code
9.8
Lỗ hổng thực thi mã từ xa trong RPC Runtime Library. Chưa có thông tin chi
Execution Vulnerability
tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022- 24491/24497
Windows Network File System Remote Code Execution Vulnerability
9.8
Lỗ hổng thực thi mã từ xa trong Windows Network File System. Chưa có thông tin chi tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022-
26815
Windows DNS Server Remote Code Execution Vulnerability
7.2
Lỗ hổng thực thi mã từ xa trong Windows DNS Server. Chưa có thông tin chi tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022-
26904
Windows User Profile Service Elevation of
Privilege Vulnerability
7.0
Lỗ hổng leo thang đặc quyền trong Windows User Profile Service. Lỗ hổng đã có PoC công bố trên không gian mạng.
CVE-2022-
24521
Windows Common Log File System Driver Elevation of Privilege
Vulnerability
7.8
Lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver. Lỗ hổng chưa có thông tin chi tiết và PoC công bố trên không gian mạng. Tuy nhiên, lỗ hổng đã được khai thác trong thực tế.
Cách phòng tránh/fix lỗi/phát hiện:
Lỗ hổng không có dấu hiệu nhận biết cụ thể. Chặn hoặc hạn chế kết nối từ port 445 từ ngoài mạng internet/mạng không phải kết nối trust. Áp dụng khuyến nghị bảo mật giao thức SMB theo nhà phát triển tại :
Sáng nay có bạn alo hỏi vụ sql tấn công và ăn cua… Tình hình có vẻ căng vụ publishing port SQL Server 1433 nhất là thuê hosting vps. Một số ý khuyến cáo chia sẽ ae bảo mật Server SQL: 1/ Buộc phải có tường lửa nếu thuê hosting thì cũng nên thuê thêm. Còn túng quá change port SQL. 2/ Access policy cho 1 số dịch vụ out in. 3/ Change mật khẩu quản trị sa mức độ phức tạp tránh bị bruce force. 4/ Phân quyền user logon và user ower db cần thiết. Không sử dụng quyền sa hoặc system admin roles để chạy user databases. 5/ Bảo mật chính application các bạn đang chạy như password admin root hay tài khoản có quyền admin… 6/ Update path KB mới nhất MSSQL. 7/ Update Os Windows Server mới nhất. 8/ Cài đặt antivirus và update mới nhất bật ips nếu có ví dụ SEP, Kis, mcafee…. 9/ Công tác này rất quan trọng là rà soát backup 3-2-1 tốt nhất backup lên đám mây và sử dụng VPN tránh bị ăn ransomware… Những ai đang chạy public trực tiếp xem xét khoá lại. Bài viết không nói rõ ứng dụng đích danh nào mà nói chung cho tất cả ứng dụng sử dụng SQL làm CSDL. Nghe đâu SQL server đang bị dính Cobalt Strike.
