Chưa đầy 24 giờ sau khi công khai lỗ hổng 0-day chưa được vá trong Windows 10, tin tặc “SandboxEscaper” đã tiết lộ mã khai thác mới cho hai lỗ hổng 0-day chưa được vá khác của Microsoft.
Hai lỗ hổng 0-day mới ảnh hưởng đến dịch vụ Báo cáo Lỗi Windows của Microsoft và Internet Explorer 11.
Lỗ hổng AngryPolarBearBug2
Một trong những lỗ hổng 0-day mới nhất của Microsoft nằm trong dịch vụ Báo cáo Lỗi (Windows Error Reporting) của Windows có thể bị khai thác thông qua danh sách kiểm soát truy cập tùy ý (DACL). Đây là một cơ chế xác định người dùng và các nhóm được phân quyền hoặc không được phân quyền truy cập vào một đối tượng an toàn.
Khi khai thác thành công, kẻ tấn công có thể xóa hoặc chỉnh sửa bất kỳ file Windows nào, bao gồm các file thực thi hệ thống.
Lỗ hổng được đặt tên là AngryPolarBearBug2, là lỗi kế thừa từ lỗ hổng dịch vụ Báo cáo Lỗi Windows được chính hacker SandboxEscape phát hiện vào cuối năm ngoái, có tên AngryPolarBearBug. Lỗ hổng này cho phép kẻ tấn công nội bộ, không được phân quyền có thể ghi đè lên bất kỳ file nào trên hệ thống.
Tuy nhiên, theo hacker SandboxEscaper, lỗ hổng này không dễ khai thác và “có thể mất tới 15 phút để triển khai việc khai thác”
Lỗ hổng vượt qua cơ chế bảo vệ Sandbox trên Internet Explorer 11
Lỗ hổng 0-day thứ hai được SandboxEscaper tiết lộ ảnh hưởng đến trình duyệt web của Microsoft, Internet Explorer 11 (IE11).
Mặc dù thông báo mã khai thác không nêu bất kỳ chi tiết nào về lỗ hổng này, một video minh họa do hacker này đăng tải cho thấy lỗi bắt nguồn từ việc trình duyệt Internet Explorer 11 tồn tại lỗ hổng xử lý file DLL chứa mã độc.
Kẻ tấn công có thể khai thác lỗ hổng này để vượt qua cơ chế bảo vệ sand box của IE và thực thi mã tùy ý với quyền Medium.
Mặc dù đều là lỗ hổng 0-day chưa được vá, nhưng đây là các lỗi không nghiêm trọng. Người dùng có thể chờ đợi các bản cập nhật an ninh vào ngày 11/ 6 tới từ Microsoft.
Cập nhật quan trọng – Thêm hai lỗ hổng 0-day mới được công bố
Chuyên gia an ninh Gal De Leon từ công ty Palo Alto Networks cho biết AngryPolarBearBug2 không phải là lỗ hổng 0-day. Thực tế lỗ hổng này đã được Microsoft vá vào tháng 5/2019 trong bản cập nhật Patch Tuesday.
Tuy nhiên, SandboxEscaper vừa công khai mã khai thác PoC cho 2 lỗ hổng zero-day mới chưa được vá trong Microsoft Windows, nâng con số lỗ hổng 0-day được tiết lộ lên 4 lỗ hổng.
Mã khai thác đầu tiên vượt qua bản vá Microsoft phát hành cho lỗ hổng leo thang đặc quyền CVE-2019-0841 trong Windows. Lỗ hổng CVE-2019-0841 bắt nguồn từ dịch vụ AppX Deployment (AppXSVC) xử lý không đúng các hard link.
Một công bố khác được SandboxEscaper ghi tên trên GitHub là “Vượt qua Trình cài đặt” Mặc dù hacker đã đăng tải video minh họa cho việc khai thác cả hai lỗ hổng mới, các nhà nghiên cứu an ninh vẫn chưa xác nhận các tuyên bố trên.
Các chuyên gia an ninh mạng của Bkav khuyến cáo: “Khai thác thành công lỗ hổng bằng mã khai thác PoC do SandboxEscaper cung cấp cho phép kẻ tấn công leo thang đặc quyền quản trị hệ thống, từ đó chiếm quyền kiểm soát hoàn toàn thiết bị. Do vậy, các hệ thống server dịch vụ Windows là đối tượng bị ảnh hưởng nặng nề nhất. Để đảm bảo an toàn cho hệ thống, các quản trị viên cần theo dõi và cập nhật các bản vá mới nhất từ Microsoft càng sớm càng tốt”.
Tôi có nên chờ đợi để nâng cấp lên Symantec Endpoint Protection 15 không? Đây là câu hỏi của rất nhiều người hiện tại, chúng tôi sẽ giải đáp các thắc mắc của bạn trong bài biết này.
Nếu bạn đang dùng phiên bản 14.0.1 trở lên, không đăng ký vào đám mây và muốn tiếp tục sử dụng Symantec Endpoint Protection Manager, hãy tiếp tục nâng cấp Symantec Endpoint Protection Manager. Không nâng cấp lên phiên bản 15. (Hướng dẫn nâng cấp lên SEP 14.2)
Nếu bạn đang dùng phiên bản 14.0.1 trở lên, không đăng ký vào đám mây, nhưng muốn quản lý từ đám mây, hãy sử dụng phiên bản 15 ngay lập tức.
Nếu bạn đang dùng phiên bản 14.0.1 trở lên và đã đăng ký vào đám mây, hãy sử dụng tài khoản Symantec Security Cloud của bạn để đăng nhập vào Cyber Defense Manager. Bạn có thể sử dụng phiên bản 15 ngay lập tức. Bạn có thể quản lý các máy khách phiên bản 14.0.1 đến phiên bản 14.2 hiện có và phiên bản 15 máy khách mới mà bạn cài đặt từ CDM.
Nếu bạn chạy các phiên bản 12.1.x đến phiên bản 14.0, bạn có thể nâng cấp trực tiếp lên Symantec Endpoint Protection 15. Tuy nhiên, bạn có thể chờ đợi ứng dụng nâng cấp cho phép di chuyển chính sách vào quý 2 năm 2019. Kể từ tháng 5 năm 2019, chính sách nhập khẩu ứng dụng nâng cấp từ Symantec Endpoint Protection Manager.
Di chuyển Symantec Endpoint Protection phiên bản 11.x hoặc Symantec Endpoint Protection Phiên bản doanh nghiệp nhỏ 12.0 sẽ không thể thực hiện. Trước tiên, bạn phải nâng cấp lên phiên bản 12.1.x mới nhất hoặc Symantec Endpoint Protection Manager cũ hơn. Symantec Endpoint Protection Manager hiển thị cảnh báo cho các lần di chuyển 11.x hoặc 12.0 đến 14. (Xem thêm)
VinSEP khuyên bạn nên sử dụng một trong các phương pháp sau để nâng cấp lên phiên bản này:
Nâng cấp tất cả các thiết bị lên máy khách phiên bản 14.2 RU1 cùng một lúc. Nâng cấp các thiết bị quan trọng phiên bản 14.2.x Symantec Endpoint Protection Manager và nâng cấp các thiết bị không quan trọng và mới lên phiên bản 15. Sau khi bạn hoàn thành chiến lược đám mây của tổ chức và Symantec Endpoint Protection 15 có nhiều tính năng tương đương với phiên bản 14.2, sau đó nâng cấp tất cả thiết bị đến phiên bản 15. Ghi chú: Các phiên bản Symantec Endpoint Protection dưới 12 sẽ không còn được hỗ trợ từ 03/04/2021
Nếu bạn cần tư vấn về giải pháp Symantec Endpoint Protection, hãy liên hệ với chúng tôi ngay:
Các doanh nghiệp dành nhiều thời và tiền bạc cho giải pháp bảo mật cao cấp và phức tạp. Nhưng đôi khi những sai lầm bảo mật lớn nhất mà họ mắc phải là những lỗi rất nhỏ. Nếu bạn đang tìm cách tăng cấp độ bảo mật trong hệ thống thì đây là năm lỗi bảo mật phổ biến cần tránh.
1. Sơ sài trong việc cấu hình tài khoản quản trị
Doanh nghiệp của bạn có thể có nhiều tài khoản quản trị viên, cung cấp cho một số nhân viên quyền kiểm soát đối với phần cứng và dịch vụ quan trọng. Điều này thực sự rất nguy hiểm.
Quản trị viên thường có rất nhiều quyền hạng truy xuất dự liệu trong hệ thống, đám mây và các dữ liệu quan trọng khác. Nếu một tài khoản quản trị viên bị tin tặc tấn công thì sự việc sẽ rất tồi tệ.
Để khác phục điều này, doanh nghiệp nên xem xét yêu cầu phê duyệt thứ cấp cho một số tác vụ, chẳng hạn như xóa tất cả các máy ảo hoặc gỡ cài đặt dịch vụ quan trọng. Bằng cách đó, ngay cả khi tin tặc có quyền truy cập vào tài khoản quản trị viên, tin tặc vẫn không thể gây hâu quả nghiêm trọng với hệ thống của bạn.
2. Không quản lý rủi ro trong hệ thống
Các doanh nghiệp kém an toàn hơn vì không phải mọi nhóm và cá nhân có thể nhận thức được các mối nguy hiểm trên mạng và cảnh giác. Doanh nghiệp cần công cụ quản lý rủi ro toàn diện cần phác thảo rõ ràng cách thức rủi ro không gian mạng chuyển thành rủi ro kinh doanh và cách chúng có thể ảnh hưởng đến công ty.
3. Không vá lổ hỏng
Có vô số ví dụ về các lỗ hổng chưa được vá lỗi, tạo cơ hội cho tin tặc lợi dung khai thác chúng, với thiệt hại thực sự lên tới hàng trăm triệu đô la.
Điển hình, cách đây 2 năm, bạn đã từng chứng kiến ransomeware tung hoành trên thế giới, gây thiệt hại lớn cho rất nhiều doanh nghiệp. Điểm nhất của cuộc tấn công này là tin tặc đã lợi dụng lỗ hỏng SMBv1.
Vì vậy, bạn nên cập nhật các bản vá lỗi thường xuyên.
4. Không bảo vệ các thiết bị IoT
Các thiết bị IoT của họ, như cảm biến và camera giám sát, là một mục tiêu rất lớn và rất hấp dẫn đối với tin tặc và có thể dễ dàng khai thác. Tệ hại hơn, một ngày nào đó, các thiết bị IoT sẽ không còn nghe lời bạn hoặc bạn có thể bị theo dõi mà không hay biết.
Vì vậy, các công ty nên kiểm tra mọi thiết bị IoT mà họ sở hữu có thực sự an toàn.
5. Không đào tạo người dùng
Bảo vệ tốt nhất chống lại tin tặc là giáo dục về các mối nguy hiểm an ninh mạng cho người dùng. Và đào tạo không có nghĩa là hội thảo mà nhân viên miễn cưỡng tham dự, và sau đó ngay lập tức quên đi. Nó có nghĩa là hoạt động, công việc đang diễn ra và luôn được rèn luyện.
Hơn nữa, bạn có thể giả lập các cuộc tấn công như phishing để do lường chất lượng đào tạo của bạn. Từ đó, bạn sẽ có kế hoạch dài hạn về đào tạo bảo mật cho người dùng.
Nếu bạn cần tư vấn đề các giải pháp bảo mật, hãy liên hệ với chúng tôi ngay:
Sản phẩm Eset Endpoint Protection giữ kết nối mạng của bạn luôn được an toàn và bảo vệ các thiết bị (máy tính, điện thoại thông minh, máy tính bảng) chống lại các mối đe dọa về an ninh mạng hiện nay. Eset Endpoint Protection cung cấp bảo vệ cần thiết cho mạng công ty của bạn và dễ dàng quản lý từ một bảng điều khiển. Cho dù bạn đang chạy Windows, Mac, hoặc thiết bị đầu cuối Linux, hoặc thậm chí cả máy ảo và điện thoại thông minh, bạn vẫn có thể quản lý an ninh công ty từ một điểm vô cùng tiện lợi và dễ dàng.
Remote Management ( Ở phiên bản mới gọi là Eset Security Management Center)
ENDPOINT ANTIVIRUS
Antivirus và Antispyware: loại bỏ tất cả các mối nguy hiểm và gián điệp.
Antiphishing: bảo vệ người dùng khỏi các trang web giả mạo đang nỗ lực ăn cắp thông tin cá nhân.
Exploit Blocker: bảo vệ sự an toàn cho các ứng dụng như trình duyệt web, trình duyệt PDF,…
Device Control: kiểm soát các thiết bị ngoại vi như USB khi kết nối với hệ thống của bạn.
Low System Demands: yêu cầu tài nguyên hệ thống thấp khi sử dụng.
MOBILE SECURITY
Real-Time Protection: bảo vệ các file và ứng dụng trong thời gian thực, sử dụng công nghệ ESET NOD32.
Antiphishing: bảo vệ người dùng khỏi các trang web giả mạo đang nỗ lực ăn cắp thông tin cá nhân.
Application Control: quản lý tùy chọn để giám sát các ứng dụng cài đặt, chặn các truy cập trái phép của ứng dụng .
Anti-Theft: bảo vệ di động với khóa/mở, xóa dữ liệu từ xa.
Lọc cuộc gọi và tin nhắn: bảo vệ người dùng khỏi các cuộc gọi và SMS không mong muốn với các tùy chọn.
iOS Mobile Device Management: tăng cường an ninh bằng cách thiết lập password, iCloud,…
FILE SECURITY
Antivirus và Antispyware: loại bỏ tất cả các mối nguy hiểm và gián điệp.
Exploit Blocker: bảo vệ sự an toàn cho các ứng dụng như trình duyệt web, trình duyệt PDF,…
Low System Demands: yêu cầu tài nguyên hệ thống thấp khi sử dụng.
Virtualization Support: hỗ trợ ảo hóa cho phép tăng tốc độ quét trong môi trường ảo.
Storage scan: quét các tập tin lưu trữ dễ dàng khi có yêu cầu.
VIRTUALIZATION SECURITY
ESET Virtualization Security for VMware vShield: bảo vệ Agentless của tất cả các máy ảo để cung cấp hiệu suất bảo vệ tốt nhất mà không làm chậm chúng xuống.Ngoài ra, nó sử dụng công nghệ vShield Endpoint để cài đặt công cụ ESET duy nhất trên mỗi máy chủ
ESET Shared Local Cache: Sử dụng giải pháp ESET để cung cấp nhiều lớp bảo mật. Ngoài ra, công nghệ chia sẻ bộ nhớ cục bộ làm tăng tốc độ quét của máy ảo.
REMOTE MANAGEMEN | ESET SECURITY MANAGEMENT CENTER
Remote Administrator: quản lý các thiết bị đầu cuối từ một bảng điều khiển đơn.
ESET Remote Administrator Server: xử lý thông tin liên lạc với các tác nhân, thu thập và lưu trữ dữ liệu trong cơ sở dữ liệu.
Independent Agent: tất cả các tác vụ đều được điều khiển bởi một tác nhân đặc biệt trên thiết bị đầu cuối, thậm chí không cần cài ESET Remote Administrator.
Web-Console: cho phép quản lý an ninh mạng từ bất cứ nơi nào thông qua giao diện web.
ESET Remote Administrator Proxy: thu thập, chuyển tiếp các dữ liệu tổng hợp đến máy chủ chính từ xa.
Rogue Detection Sensor: phát hiện các máy không được bảo vệ và không được quản lý ở trong mạng.
Multi-Platform Support: hỗ trợ trên cả hai nền tảng máy chủ là windows và linux.
Role-Based Management: Tạo nhiều tài khoản người dùng, mỗi tài khoản có thể tùy chỉnh các đặc quyền.
Integrated ESET SysInspector: Quản trị viên có thể theo dõi lại sự cố an ninh và có thể thay đổi cho từng thiết bị đầu cuối cụ thể dựa trên báo cáo của ESET SysInspector
04
Tư vấn và mua bản quyền ESET tại VinSEP
VinSEP là đổi tác chính thức của ESET tại Việt Nam. Với đội ngũ tư vấn bán hàng chuyên môn hóa chúng tôi luôn tư vấn khách hàng đúng giải pháp cần thiết, giúp khách hàng mua giải pháp với đúng nhu cầu phù hợp với chi phí. Cùng với đó các dịch vụ hậu mãi sau bán hàng được VinSEP đặt lên hàng đầu, hơn nữa chúng tôi luôn có các chương trình khuyến mãi hàng tháng.
Quy trình mua hàng
05
Cách mua ESET cho doanh nghiệp
Dựa trên các kinh nghiệm phân phối và cấp phép riêng cho Việt Nam. Bạn có thể mua bằng cách ký hợp đồng với VinSEP để mua giấy phép cho các sản phẩm ESET dành cho doanh nghiệp từ 5 đến hàng ngàn máy tính với đội ngũ kỹ thuật triển khai chuyên nghiệp đã được huấn luyện và đào tạo. Theo dõi các thông tin dưới đây để nắm rõ cách mua hàng. Cấp phép sản phẩm Theo đối tượng doanh nghiệp
Doanh nghiệp tư nhân (TNHH, MTV, Cổ phần, tập đoàn, ngân hàng)
Doanh nghiệp nhà nước (>51% cổ phần)
Khối chính phủ/ nhà nước
Khối Giáo dục
Theo số lượng mua, mỗi đơn hàng có 1 mức giá theo số máy trạm, máy chủ, mail server, gateway. Đóng gói sản phẩm Tất cả phần mềm + giấy phép của ESET for Business được đóng gói theo tiêu chuẩn của hãng – cấp phát điện tử (ESD) không có bất kỳ hộp, đĩa vật lý. Sau khi đặt mua thành công, ESET sẽ gửi thông tin chủ sở hữu chứng thực không thể làm giả về email bao gồm tên đăng nhập và mật khẩu trên hệ thống quản lý online – LICENSING SYSTEM – ESET License Administrator (www.ela.eset.com) ESET License Administrator: cho phép người dùng kiểm soát linh hoạt, và khả năng hiển thị tuyệt vời về tình trạng giấy phép và usage. Tính năng: Industry-standard License Key, Transparent license update, License grouping. Lợi ích: Đảm bảo tính tương thích với các sản phẩm mới, Phân phối và hợp nhất giấy phép, trạng thái giấy phép và sử dụng thực tế, tạo giấy phép offline dạng file.
Bất chấp mọi cảnh báo từ chuyên gia, những mật khẩu kiểu này vẫn được không ít người dùng tin tưởng sử dụng.
Như thường lệ, trang SplashData lại công bố danh sách những mật khẩu tệ nhất 2018. Một lần nữa, mật khẩu 123456 lại chiếm vị trí đầu bảng, đây đã là năm thứ năm liên tiếp mật khẩu này đứng vị trí “quán quân”. Vị trí thứ hai cũng thuộc về cái tên vô cùng quen thuộc password, trong khi đó 123456789 chiếm vị trí thứ ba, tiếp theo là 12345678 và 12345.
iloveyou
qwerty
sunshine
1234567
111111
12345
12345678
123456789
password
123456
Danh sách đầy đủ bao gồm 100 mật khẩu, trong đó “donald” chiếm vị trí 23, “soccer” chiếm vị trí 97, và “hockey” là 89. Nếu bạn quan tâm, hãy kiểm tra danh sách đầy đủ 100 mật khẩu tệ nhất năm 2018 của SplashData tại đây. Nếu trùng với bất kỳ mật khẩu nào trong này, bạn nên thay đổi ngay lập tức.
SlashData cũng đưa ra một số lời khuyên khi đặt mật khẩu như: Dùng 12 ký tự hoặc hơn, kết hợp lẫn lộn nhiều loại ký tự. Dùng mật khẩu khác nhau cho các dịch vụ. Sử dụng phần mềm quản lý mật khẩu để sắp xếp, tạo mật khẩu bất kỳ và tự động đăng nhập vào website.
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
ENDPOINT ANTIVIRUS
MOBILE SECURITY
FILE SECURITY
VIRTUALIZATION SECURITY
