Nhà cung cấp giải pháp bảo mật ExtraHop (trụ sở tại Mỹ) đã sử dụng các giải pháp phát hiện và phản hồi mạng (NDR) của họ để phân tích siêu dữ liệu ẩn danh từ một số lượng mạng khách hàng không xác định, nhằm hiểu rõ hơn về những mục tiêu có thể dễ bị tấn công nhắm vào các giao thức lỗi thời.
Nghiên cứu cho thấy, các tổ chức vẫn còn sử dụng giao thức Server Message Block phiên bản 1 (SMBv1), chứa lỗ hổng tràn bộ đệm có thể bị khai thác bởi công cụ EternalBlue của Cơ quan an ninh quốc gia Mỹ (NSA) phát triển và các công cụ tấn công liên quan.
Những công cụ này sau đó đã được tin tặc Triều Tiên sử dụng cho tấn công mã độc tống tiền WannaCry và tin tặc Nga sử dụng cho chiến dịch tấn công mã độc tống tiền NotPetya.
Đây không phải là giao thức không an toàn duy nhất mà các tổ chức vẫn sử dụng. ExtraHop phát hiện ra rằng, 81% tổ chức vẫn sử dụng giao thức xác thực đăng nhập HTTP dạng văn bản rõ và 34% tổ chức có ít nhất 10 máy khách sử dụng giao thức xác thực NTLMv1, có thể cho phép tin tặc thực hiện tấn công người đứng giữa (MITM) hoặc kiểm soát hoàn toàn một tên miền.
Báo cáo cũng cảnh báo rằng, 70% tổ chức cũng đang sử dụng giao thức phân giải tên luồng đa phát liên kết cục bộ (LLMNR), có thể bị lợi dụng để truy cập vào hàm băm của thông tin xác thực người dùng. Thông tin này có thể bị phá và sẽ để lộ lọt thông tin đăng nhập.
Ông Ted Driggs, trưởng bộ phận sản phẩm của ExtraHop cho rằng không phải lúc nào các tổ chức cũng dễ dàng nâng cấp lên các giao thức mới và an toàn hơn.
Ông Ted giải thích, nâng cấp SMBv1 và các giao thức lỗi thời khác có thể không phải là điều dễ thực hiện đối với các hệ thống cũ, ngay cả khi điều này có thể thực hiện, thì việc nâng cấp có thể gây ra sự cố gián đoạn. Nhiều tổ chức công nghệ thông tin và bảo mật sẽ lựa chọn việc tiếp tục sử dụng các giao thức lỗi thời thay vì chịu rủi ro gián đoạn hoạt động.
Ông cũng cho biết, các tổ chức cần kiểm kê chính xác và cập nhật về hành vi sử dụng tài sản công nghệ thông tin, để đánh giá được tình hình rủi ro liên quan đến các giao thức không an toàn. Chỉ khi đó, họ mới có thể quyết định cách khắc phục sự cố hoặc hạn chế phạm vi tiếp cận các hệ thống dễ bị tấn công trên mạng.
Đỗ Đoàn Kết
(theo Infosecurity)
14:00 | 29/06/2017
10:00 | 20/09/2017
08:12 | 15/06/2017
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024