-
14/01/2021
-
19
-
85 bài viết
Dự kiến phát hành PoC cho lỗ hổng zero-day CVE-2023-36036
Mã khai thác (PoC) sắp được phát hành cho hổng zero-day CVE-2023-36036, điểm CVSS là 7,8, cho phép tin tặc chiếm đặc quyền HỆ THỐNG. Hiện tại lỗ hổng này đã được vá trong Patch Tuesday tháng 11 của Microsoft.
Cụ thể, lỗ hổng có mức độ nghiêm trọng cao này tồn tại trong trình điều khiển Windows Cloud Files Mini Filter - một thành phần quan trọng để lưu trữ tệp trên đám mây. Lỗ hổng xuất hiện trong quá trình phân tích cú pháp dữ liệu repatsing point.
Nghiêm trọng hơn là do tham số user-controllable length parameter và manageable source memory (bộ nhớ nguồn có thể quản lý) của hàm memcpy. Đây là điều kiện cho kẻ tấn công tạo và lây nhiễm các cấu trúc độc hại, dẫn đến lỗi ghi ngoài giới hạn (out-of-bounds), nguy hiểm hơn có thể thực thi mã tùy ý trong kernel.
Các nhà nghiên cứu cho biết thêm lỗ hổng này tương đối dễ khai thác do thiếu các trường xác thực. Trước khi sử dụng hàm memcpy để sao chép dữ liệu, đoạn mã không thể xác minh độ dài của dữ liệu được sao chép. Vì vậy, giải pháp khắc phục tạm thời cho lỗ hổng CVE-2023-36036 là kiểm tra độ dài trước khi giải nén, nếu độ dài dữ liệu vượt quá 0x4000, nó sẽ bị gắn cờ là sai và ngăn chặn các khai thác ngay từ đầu.
Hiện chưa có thông tin về cách lỗ hổng này bị khai thác các cuộc tấn công của các nhóm tin tặc. Nhà nghiên cứu tìm ra lỗ hổng đã công bố báo cáo kỹ thuật về CVE-2023-36036 và dự kiến sẽ phát hành mã khai thác trong thời gian tới.
Microsoft đã nhanh chóng xử lý lỗ hổng trong Patch Tuesday tháng 11. Người dùng ngay lập tức cập nhật bản vá và áp dụng các biện pháp bảo mật càng sớm càng tốt nhé!
Cụ thể, lỗ hổng có mức độ nghiêm trọng cao này tồn tại trong trình điều khiển Windows Cloud Files Mini Filter - một thành phần quan trọng để lưu trữ tệp trên đám mây. Lỗ hổng xuất hiện trong quá trình phân tích cú pháp dữ liệu repatsing point.
Nghiêm trọng hơn là do tham số user-controllable length parameter và manageable source memory (bộ nhớ nguồn có thể quản lý) của hàm memcpy. Đây là điều kiện cho kẻ tấn công tạo và lây nhiễm các cấu trúc độc hại, dẫn đến lỗi ghi ngoài giới hạn (out-of-bounds), nguy hiểm hơn có thể thực thi mã tùy ý trong kernel.
Các nhà nghiên cứu cho biết thêm lỗ hổng này tương đối dễ khai thác do thiếu các trường xác thực. Trước khi sử dụng hàm memcpy để sao chép dữ liệu, đoạn mã không thể xác minh độ dài của dữ liệu được sao chép. Vì vậy, giải pháp khắc phục tạm thời cho lỗ hổng CVE-2023-36036 là kiểm tra độ dài trước khi giải nén, nếu độ dài dữ liệu vượt quá 0x4000, nó sẽ bị gắn cờ là sai và ngăn chặn các khai thác ngay từ đầu.
Hiện chưa có thông tin về cách lỗ hổng này bị khai thác các cuộc tấn công của các nhóm tin tặc. Nhà nghiên cứu tìm ra lỗ hổng đã công bố báo cáo kỹ thuật về CVE-2023-36036 và dự kiến sẽ phát hành mã khai thác trong thời gian tới.
Microsoft đã nhanh chóng xử lý lỗ hổng trong Patch Tuesday tháng 11. Người dùng ngay lập tức cập nhật bản vá và áp dụng các biện pháp bảo mật càng sớm càng tốt nhé!
Chỉnh sửa lần cuối bởi người điều hành: