Kaseya và lỗ hổng PrintNightmare | Avast

“Trời không bao giờ mưa nhưng mưa như trút.” Đó là câu nói mô tả các tình huống trong đó một số điều tồi tệ xảy ra cùng một lúc, và những tình huống này là những tình huống mà đội sự cố an ninh biết rõ. Trên thực tế, các đội bảo mật trên toàn cầu gần đây đã gặp phải tình huống như vậy liên quan đến các mối đe dọa PrintNightmare và Kaseya đang hoạt động, đáng gờm.

Đối với những người không có đội bảo mật chuyên dụng, chẳng hạn như người dùng gia đình và doanh nghiệp vừa và nhỏ (SMB), có thể vừa bối rối vừa khó hiểu những gì bạn cần làm đối với một trong hai sự kiện bảo mật này.

Trong bài đăng này, tôi sẽ hướng dẫn bạn một cách ngắn gọn nhưng rõ ràng về những việc bạn cần làm để giúp giữ cho bản thân và doanh nghiệp của bạn an toàn nhất có thể. Nó bao gồm ba bước đơn giản:

1. Nếu bạn sử dụng Kaseya VSA, hãy ngắt kết nối máy chủ Kasya VSA của bạn dưới dạng hướng dẫn bởi Kaseya.
2. Cài đặt ngay lập tức phát hành cập nhật bảo mật từ Microsoft cho lỗ hổng Print Spooler (còn được gọi là lỗ hổng PrintNightmare).
3. Tiếp tục theo dõi thông tin từ Kaseya và Microsoft để biết bất kỳ bước mới nào bạn có thể cần thực hiện.

Ngắt kết nối máy chủ Kaseya VSA

Kaseya làm phần mềm giúp quản lý máy tính và máy chủ. Vào ngày 2 tháng 7 năm 2021, Kaseya được biết rằng họ đã trải qua một cuộc tấn công cố gắng phát tán ransomware vào các máy tính và máy chủ được quản lý bằng phần mềm của họ. Một cuộc tấn công gián tiếp như thế này đôi khi được gọi là tấn công chuỗi cung ứng và tương tự như các cuộc tấn công SolarWinds vào tháng 12 năm 2020.

“Chuỗi” tấn công này trở nên phức tạp hơn vì nhiều khách hàng cuối cùng sử dụng Kaseya VSA và có thể gặp rủi ro cũng đang sử dụng sản phẩm này với tư cách là khách hàng của các nhà cung cấp dịch vụ được quản lý (MSP). Những khách hàng này có thể không nghĩ mình là “khách hàng của Kaseya” mà thay vào đó là khách hàng của MSP cụ thể của họ, mặc dù trong tình huống này, họ có nguy cơ là người dùng sản phẩm VSA của Kaseya.

Kaseya đã và đang làm việc để ngăn chặn sự lây lan của ransomware thông qua sản phẩm của họ và họ đã đưa ra hướng dẫn cho khách hàng của họ bây giờ: Nếu bạn có máy chủ Kaseya VSA, bạn nên đặt nó ở chế độ ngoại tuyến cho đến khi có thông báo mới từ Kaseya.

Bước này phá vỡ “dây chuyền” trong cuộc tấn công chuỗi cung ứng này và là bước tốt nhất mà bất kỳ khách hàng nào của Kaseya có thể thực hiện. Điều này có thể ngăn khối lượng ransomware mà những kẻ tấn công đặt trong chuỗi phân phối Kaseya tiếp cận và lây nhiễm hệ thống của bạn.

Nếu bạn là khách hàng của một MSP sử dụng Kaseya, bạn có thể không có máy chủ Kaseya VSA: MSP của bạn có thể có máy chủ đó. Điều tốt nhất bạn có thể làm ở đây là liên hệ với MSP của mình và hỏi họ xem họ có biết về hướng dẫn của Kaseya không, những gì họ đang làm để đáp ứng hướng dẫn đó và bạn sẽ cần thực hiện những bước nào để luôn được bảo vệ.

Kaseya đã chỉ ra rằng bước này là một bước tạm thời để bảo vệ khách hàng của họ trong khi họ xử lý tình huống này. Họ hy vọng sẽ hướng dẫn khách hàng của họ đưa máy chủ VSA của họ trở lại trực tuyến sau khi công việc điều tra và khắc phục của họ được thực hiện.

Cài đặt bản cập nhật bảo mật cho lỗ hổng PrintNightmare

Vào ngày 1 tháng 7 năm 2021, có thông báo rằng có một lỗ hổng mới chưa được vá ảnh hưởng đến Print Spooler trong tất cả các phiên bản của Microsoft Home windows. Print Spooler chịu trách nhiệm xử lý việc định dạng, gửi và quản lý lệnh in trong Home windows và chạy theo mặc định trên tất cả các hệ thống có cùng đặc quyền với hệ điều hành. Tác động tiềm ẩn của một cuộc tấn công thành công chống lại lỗ hổng này sẽ là cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn hệ thống. Điều này đặc biệt nguy hiểm đối với bộ điều khiển miền vì một cuộc tấn công chống lại các hệ thống này có thể cung cấp cho ai đó quyền kiểm soát hoàn toàn toàn bộ mạng, không chỉ một hệ thống đơn lẻ.

Kể từ ngày 6 tháng 7 năm 2021, Microsoft đã phát hành một bản cập nhật bảo mật ngoài băng tần khẩn cấp để giải quyết lỗ hổng bảo mật này.

Đó là một dấu hiệu cho thấy mức độ nghiêm trọng của lỗ hổng này khi Microsoft không chỉ phát hành bản cập nhật bảo mật khẩn cấp cho nó mà họ còn phát hành các bản cập nhật bảo mật cho các phiên bản Home windows không còn được hỗ trợ.

Những gì bạn nên làm trong tình huống này rất đơn giản: Tải xuống và cài đặt bản cập nhật bảo mật này cho mọi hệ thống Home windows càng sớm càng tốt.

Nếu bạn đang chạy phiên bản Home windows không còn được hỗ trợ, chẳng hạn như Home windows 7, bạn cũng nên tìm cách chuyển sang phiên bản Home windows được hỗ trợ càng sớm càng tốt sau khi cài đặt bản cập nhật bảo mật này. Các phiên bản Home windows không hỗ trợ dễ bị tấn công bởi một số lỗ hổng bảo mật khác và việc nằm trên phiên bản không hỗ trợ vốn dĩ không an toàn và nguy hiểm.

Cho đến thời điểm hiện tại, không có cuộc tấn công rộng rãi nào được biết đến chống lại lỗ hổng này.

Tiếp tục theo dõi để biết thông tin mới

Cả hai tình huống này vẫn đang diễn ra và thông tin mới có thể (và sẽ) phát triển. Ví dụ: Kaseya đã chỉ ra rằng khách hàng của họ nên chuẩn bị đưa máy chủ Kaseya VSA của họ trở lại trực tuyến khi được hướng dẫn làm như vậy.

Ngoài ra, bất cứ khi nào có một bản vá khẩn cấp như bản vá mà Microsoft đã phát hành, luôn có khả năng sẽ có những phát triển mới sau khi nó được phát hành.

Vì những lý do này, sau khi thực hiện các bước được nêu trong bài đăng này, bạn nên tiếp tục xem các trang internet của Kaseya và Microsoft để biết thêm bất kỳ bước nào.

Nếu bạn thực hiện các bước nói trên và tiếp tục theo dõi thông tin mới, bạn sẽ làm tất cả những gì có thể để bảo vệ hiệu quả nhất cho bản thân, hệ thống và doanh nghiệp của bạn khỏi hai sự kiện bảo mật đồng thời lớn này.